In che modo un affidabile maps.googleapis.com in CSP attiva una vulnerabilità XSS? (JSONP)

5

Sto testando lo strumento CSP Evaluator e ho una domanda riguardante la seguente politica di sicurezza del contenuto:

default-src https://maps.googleapis.com

Lo strumento considera questo come un rischio elevato:

maps.googleapis.com is known to host JSONP endpoints which allow to bypass this CSP.

La mia domanda è: in che modo è possibile sfruttare un maps.googleapis.com affidabile per eseguire un attacco XSS?

    
posta Dog eat cat world 29.09.2016 - 10:59
fonte

1 risposta

6

Considera se qualcosa di simile è stato tentato da un utente malintenzionato che ha iniettato XSS:

<script src="https://maps.googleapis.com/foo?callback=alert"></script>

Ciòeseguiràlafunzionefoodall'SDKJavaScriptdell'APIdiGoogleealsuoritornochiamerebbealert.Ciòdimostracheunutentemalintenzionatosarebbeingradodiinserirecodiceinlinenellapagina,cheverrebbeeseguito.PertantovieneraggiuntoXSScheignorailbloccodelcodiceunsafe-inline.

Ovviamente,ciòchepuòesserechiamatodipenderàdagliargomentipassatiedacomeesattamenteGoogledisinfettailparametrodicallback.SembracheCSPValidatorabbiasolounasempliceregolapercontrassegnarlinellaforma"il dominio nel CSP supporta JSONP?" che non tiene conto di come viene eseguita la richiamata.

Questo sembra giusto, in quanto CSP Validator non saprà mai se eventuali alterazioni del codice nel dominio esterno introdurranno o patcheranno tali vulnerabilità, quindi penso che sia corretto che questo sia contrassegnato.

    
risposta data 29.09.2016 - 11:40
fonte

Leggi altre domande sui tag