jQuery最新xss漏洞分析——CVE-2020-11022/11023

1、背景
javascript

jQuery官方上周发布了最新版本3.5.0，主要修复了两个安全问题，官方博客为：html

https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/

据NVD描述：在大于或等于1.2且在3.5.0以前的jQuery版本中，即便执行了消毒（sanitize）处理，也仍会执行未来自不受信任来源的HTML传递给jQuery的DOM操做方法（即html()、.append()等），从而致使xss漏洞。java

2、前置知识

在讲解漏洞以前，须要了解jQuery的基本用法和历史漏洞，具体可参考：jQuery框架漏洞全总结及开发建议：jquery

https://mp.weixin.qq.com/s/M1BYj6VbeoNV4C5M7cR_hA

而与这次jQuery漏洞联系比较紧密的是html()等方法，此方法返回或设置被选元素的内容 (inner HTML)，可用于设置全部选定元素的内容，看一个简单的使用案例：git

  此处定义一个点击事件，会对全部的p元素进行匹配，并修改成相同的内容。
github

3、漏洞复现

对于此漏洞原做者搭建了在线环境，内置了三个xss poc，点击Append via .html()按钮便可触发xss：apache

https://vulnerabledoma.in/jquery_htmlPrefilter_xss.html

审查源码，逻辑很简单：api

首先使用以下代码模拟了一个开发场景，即将页面的全部div元素替换为根据ID取到的sanitizedHTML：浏览器

<script>function test(n,jq){ sanitizedHTML = document.getElementById('poc'+n).innerHTML; if(jq){ $('#div').html(sanitizedHTML); }else{ div.innerHTML=sanitizedHTML; }}</script>

虽然三个poc都使用了包含onerror事件的img标签，但其实它们是放在属性或style元素内部，所以会绕过HTML清理器。安全

以poc1为例，根据此id取到的值以下：

<style><style /><img src=xonerror=alert(1)>

  点击以后，执行xss，此时审查div元素：

  发现咱们提交的poc多了一个闭合标签</style>，变成了:

<style><style /></style><imgsrc=x onerror=alert(1)>

  </style>闭合了<style>标签，成功执行后面的<img>脚本，致使xss。

4、漏洞原理

1、CVE-2020-11022

致使上述问题的关键是，在html()方法中，做为参数传递的HTML字符串将传递到  $ .htmlPrefilter（）方法：

https://api.jquery.com/jQuery.htmlPrefilter/

这个方法用于替换自闭合标签，如将<tagname /> 替换为 <tagname ></tagname>，3.x版本以前使用的正则为：

rxhtmlTag =/<(?!area|br|col|embed|hr|img|input|link|meta|param)(([\w:-]+)[^>]*)\/>/gi[...]htmlPrefilter: function( html ) { return html.replace(rxhtmlTag, "<$1></$2>" );}

3.x以后使用的正则为：

rxhtmlTag =/<(?!area|br|col|embed|hr|img|input|link|meta|param)(([a-z][^\/\0>\x20\t\r\n\f]*)[^>]*)\/>/gi

这就使用到环境里的poc2（仅适用于jQuery3.x），注意这里的xss payload是做为属性出现，因此能够绕过消毒器规则：

<img alt="<x" title="/><img src=xonerror=alert(1)>

该poc使用html()方法执行后发现变为：

<img alt="<x" title="/></x”><imgsrc=x onerror=alert(1)>

该正则会将x"识别为标签并新增</x”>闭合标签，从而达到xss的效果：

2、CVE-2020-11023

  针对上述漏洞原理，jQuery Team进行了修复，修复手段为将$.htmlPrefilter()方法替换为标识函数，所以传递的HTML字符串如今再也不通过htmlPrefilter函数处理，从而成功修复了漏洞。但仍有一些手段能够绕过，CVE-2020-11023就是针对CVE-2020-11022的绕过：

    绕过使用的是另外一个特性，某些特殊的标签在通过html()方法处理时，会因为HTML的特性或浏览器的bug而使得这些标签被移除。

option就是这些特殊标签之一，咱们知道option 元素经过位于 select 元素内部来构造一个选择列表，但若是没有select元素，option会被移除。为了解决这个bug，若是传入参数的第一个元素为option，jQuery会新增<select multiple='multiple’>和</select>。

因此咱们提交poc3：

<option><style></option></select><imgsrc=x onerror=alert(123456)></style>

通过处理会变为：

<select multiple='multiple'><option><style></option></select><imgsrc=x onerror=alert(123456)></style></select>

根据HTML从前日后解析的顺序，会先解析一个<select>标签，且<select>不容许将大部分HTML标签包裹其中，致使<style>被忽略，然后识别<img>标签从而xss。

 此漏洞在最新的3.5.0中也被修复，对于特殊的标签进行了处理。

https://github.com/jquery/jquery/commit/966a70909019aa09632c87c0002c522fa4a1e30e#diff-51ec14165275b403bb33f28ce761cdedR25

5、总结

1、漏洞利用

1）系统使用jQuery的html()、append()或$('<tag>')等方法处理用户输入；

2）用户输入已通过“消毒”（sanitize）处理。

2、修复方案

1）更新jQuery到3.5.0或更高版本

https://code.jquery.com/jquery-3.5.0.js

2）使用XSS清理工具清理用户输入的HTML，官方推荐：

https://github.com/cure53/DOMPurify

参考：

https://mksben.l0.cm/2020/05/jquery3.5.0-xss.html?m=1