ODataController Cross site scripting (content-sniffing)

前言

最近同事詢問一個 ODataController 被黑箱打到的一個 XSS 問題。
ODataController 允許我們使用 $count, $select 等操作。
我們用一個簡單的 webapi 專案來測試,新增 WebApi 專案後,加入「Microsoft.AspNet.OData」。
詳細可以參考 Create an OData v4 Endpoint Using ASP.NET Web API

測試

建立 Product Model ,

1
2
3
4
5
6
public class Product
{
  public int Id { get; set; }
  public string Name { get; set; }
  public decimal Price { get; set; }
}

因為只要測試 odata ,所以在 WebApiConfig.cs 只需設定 OData 的部份,如下,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        config.MapHttpAttributeRoutes();
        var builder = new ODataConventionModelBuilder();
        config.Count().Filter().OrderBy().Expand().Select().MaxTop(null); //new line
        builder.EntitySet<Product>("Products");
        config.MapODataServiceRoute(
          routeName: "odata",
          routePrefix: "odata",
          model: builder.GetEdmModel());
    }
}

建立測試的 ODataController

1
2
3
4
5
6
7
8
9
10
11
12
public class ProductsController : ODataController
{
  [EnableQuery]
  public IHttpActionResult Get(ODataQueryOptions<Product> opts)
  {
    var products = new List<Product>() {
      new Product{Id=1, Name="Product 1***", Price=101},
      new Product{Id=2, Name="Product 2***", Price=202}
    };
    return Ok(products);
  }
}

所以執行出來的結果如下,

1
http://localhost:50758/odata/Products?$count=true

正常的 $count 的值允許為 true/false。
但是黑箱卻給它輸入以下的值,

1
$count=<ScRiPt>cXfm(9342)</ScRiPt>

因為直接把 url 上的內容直接輸出了,所以就被黑箱說有 XSS 問題。

解法

從上面可以發現,雖然它有錯誤的訊息出來,但程式卻會正常執行到 OK。
只是在 ODataQueryOptions opts 中的 count.value 屬性會有錯誤,如下,

即然沒有錯誤,那要在那裡去將錯誤訊息 Encode 呢?
我們可以透過 opts.ApplyTo 去驗證它們,如果有錯誤的話,就建立 ODataException ,並將訊息 Encode ,如下,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
[EnableQuery]
public IHttpActionResult Get(ODataQueryOptions<Product> opts)
{
  var products = new List<Product>() {
    new Product{Id=1, Name="Product 1***", Price=101},
    new Product{Id=2, Name="Product 2***", Price=202}
  };
  try
  {
    //only validate ODataQueryOptions
    opts.ApplyTo((new List<Product>()).AsQueryable());
    return Ok(products);
  }
  catch(Exception ex)
  {
    throw new ODataException(HttpUtility.JavaScriptStringEncode(ex.ToString()));
  }
}

所以再執行一次,就可以發現錯誤訊息都有被 Encode 了。

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw