#34 Уязвимость DVWA. Content Security Policy (Bypass)- Уровень (Low)

25 ноября 202025 ноя 2020

1 мин

Здравствуйте, дорогие друзья.

Продолжаем рассматривать уязвимости DVWA, и сегодня остановимся на Content Security Policy на низком уровне настроек безопасности.

(CSP) или политика защиты контента представляет собой механизм, который встроен в браузеры, и позволяющий защититься от XSS-атак.

Если говорить об использовании данной политики, то основная задача будет заключаться в том, что она будет сводить к минимуму успешную эксплуатацию XSS, и блокировку не доверенных скриптов JavaScript.

Механизм также дает описание браузеру источники загрузки ресурсов, что безопасно. Источники могут быть в виде JS, стилей, изображений, фреймов.

С теорией все, и для начала выставим настройки на «Low»:

Открываем страницу «CSP Bypass», и видим поле для ввода данных, а также описание, что нужно делать с данным полем. Запись имеет перевод: «Вы можете включить скрипты из внешних источников, изучить Политику безопасности контента и ввести URL-адрес, который нужно включить сюда»:

Начнем тестировать, и попробуем ввести стандартный скрипт, с выводом всплывающего окна и сообщения: «<script>alert(‘CSP_Bypass’)</script>»:

Жмем кнопку «Include», и ничего не происходит. Страница работает корректно и фильтрует наш скрипт, у которого нет шансов на выполнение.

Давайте рассмотрим исходный код данной страницы. Это кнопка «View Source» внизу справа:

В появившемся окне видим скрипты на языке программирования PHP:

Обратите внимание на ссылку во втором комментарии. Можно перейти по ней, предварительно скопировав. После чего в адресной строке URL вставляем скопированный адрес, и видим вывод:

Думаю, Вы догадались, что происходит. Если нет, то суть в том, что данный сайт преобразует исходный код (в данном случае на JavaScript), в кликабельную ссылку, которую можно внедрить на уязвимой странице.

Предлагаю создать собственную. Для этого переходим по адресу: «https://pastebin.com/», и вводим код. У меня он выглядит как: «alert(“CSP- Bypass_Low”)»: