Istraživači su razvili naprednu metodu za zaobilaženje zaštita definisanih politikom bezbjednosti sadržaja (CSP) korištenjem kombinacije ubrizgavanja HTML-a i manipulacije predmemorijom preglednika. Ova tehnika iskorištava interakciju između CSP implementacija zasnovanih na nonce vrijednostima i mehanizama predmemorije preglednika, s posebnim fokusom na predmemoriju za povratak/naprijed (bfcache) i sisteme predmemorije na disku.
Ključni zaključci ove analize su da istraživači uspješno zaobilaze CSP zaštite manipulacijom predmemorije preglednika. Tehnike zasnovane na CSS-u omogućavaju izvlačenje CSP nonce vrijednosti iz meta oznaka putem zahtjeva u pozadini. Manipulacijom predmemorije preglednika, moguće je ponovno koristiti stranice sa poznatim nonce vrijednostima za ubacivanje zlonamjernih sadržaja. Ova ranjivost ugrožava fundamentalnu web sigurnost protiv napada unakrsne skripte (XSS).
Ovo istraživanje pokazuje kako napadači mogu zaobići jedan od najvažnijih sigurnosnih mehanizama na webu iskorištavanjem inherentnog ponašanja predmemorije modernih preglednika, potencijalno izlažući nebrojene web aplikacije XSS napadima koji su se do sada smatrali zaštićenima.
Metodologija napada usredotočena je na iskorištavanje ponovne upotrebe CSP nonce vrijednosti putem mehanizama predmemorije preglednika. Višefazni pristup započinje ubrizgavanjem CSS-a radi curenja nonce vrijednosti iz ciljne aplikacije. Tehnika koristi CSS selektore atributa za izvlačenje nonce vrijednosti iz meta oznaka koje sadrže CSP zaglavlja, što je demonstrirano u priloženom kodu dokaznog primjera.
Istraživački tim je otkrio da, iako su nonce atributi u oznakama skripti zaštićeni od CSS selektora iz sigurnosnih razloga, iste vrijednosti koje se nalaze u atributima sadržaja meta oznaka ostaju dostupne. Ovo omogućava napadačima sistematsko curenje nonce vrijednosti koristeći tehnike ubrizgavanja CSS-a koje generišu višestruke zahtjeve u pozadini, efektivno rekonstruišući kompletan nonce putem preklapajućih sekvenci znakova.
Napad koristi ranjivosti unakrsnog zahtjeva lažnog predstavljanja (CSRF) za ažuriranje ubrizganog tereta, zadržavajući pritom pristup prethodno iscurjelom nonce-u. Iskoristivši nedostatak CSRF zaštite na krajnjoj tački prijave, napadači mogu izmijeniti pohranjeni teret putem slanja obrazaca.
Proboj se sastoji u manipulaciji particioniranjem predmemorije preglednika i interakcijom između bfcache-a i predmemorije na disku. Kada uslovi za bfcache ne budu ispunjeni, poput održavanja referenci na prozor, preglednik se vraća na predmemoriju na disku, koja čuva originalnu stranicu sa poznatim nonce-om, istovremeno omogućavajući dinamička ažuriranja sadržaja. Istraživači su utvrdili da se unosi predmemorije ključuju pomoću Ključeva mrežne izolacije, koji obuhvataju kako lokaciju gornjeg nivoa, tako i lokaciju trenutnog okvira, omogućavajući selektivnu manipulaciju predmemorijom.
Iskorištavanje zahtijeva precizno tajming i upravljanje predmemorijom, koristeći različite parametre URL-a za kreiranje jedinstvenih unosa predmemorije. Tehnika uključuje učitavanje ciljne stranice sa jedinstvenim parametrom (/dashboard?xss), curenje nonce-a, ažuriranje tereta putem CSRF-a, učitavanje iste krajnje tačke bez parametara radi ažuriranja predmemorije profila, te konačno navigaciju natrag kako bi se pokrenula predmemorirana stranica sa novim teretom.
Ovo istraživanje otkriva značajne implikacije za sigurnost web aplikacija, s obzirom da mnoge aplikacije zavise od CSP-a zasnovanog na nonce-u kao primarne odbrane od XSS napada. Tehnika funkcionira na modernim preglednicima i zahtijeva samo dva preduvjeta: mogućnost curenja nonce vrijednosti putem ubrizgavanja HTML-a i odvojene mehanizme isporuke tereta. Sigurnosni stručnjaci sada moraju uzeti u obzir ponašanje predmemorije prilikom implementacije CSP zaštita, potencijalno zahtijevajući dodatne mjere predostrožnosti poput zaglavlja za kontrolu predmemorije i poboljšanih strategija generisanja nonce-a koje uzimaju u obzir mehanizme predmemorije preglednika.
