CSP-Bypass Cross Site Scripting

Un mecanismo de seguridad del navegador que tiene como objetivo mitigar XSS y algunos otros ataques. Funciona restringiendo los recursos (como scripts e imágenes) que una página puede cargar y restringiendo si una página puede estar enmarcada por otras páginas.

Para habilitar CSP, una respuesta debe incluir un encabezado de respuesta HTTP llamado Content-Security-Policycon un valor que contenga la política. Mientras que bypass de CSP se refiere a técnicas que los atacantes pueden utilizar para evadir las restricciones de CSP.

¿Cuál es el significado de los atributos?

  • default-src: este es el recurso alternativo cuando no se han definido otros atributos. La mayoría de las veces este atributo tiene el valor selfque indica que solo se pueden cargar recursos del propio sitio web.

  • script-src: restringe las ubicaciones desde las que se pueden cargar scripts externos. El valor se puede establecer en nonesi el sitio web o la aplicación no utiliza scripts del lado del cliente.

  • img-src: restringe las ubicaciones desde las que se pueden cargar las imágenes.

  • media-src: restringe las ubicaciones desde las que se pueden cargar medios (como vídeos).

  • object-src: restringe las ubicaciones desde las que se pueden cargar los complementos.

  • manifest-src:restringe las ubicaciones desde las que se puede cargar el manifiesto de la aplicación.

  • frame-ancestors: este atributo restringe las ubicaciones que pueden cargar el sitio web utilizando frame, iframe, o elementos. En su momento debería sustituirse el encabezado de respuesta HTTP .objectembedappletframe-ancestorsX-Frame-Options

  • form-action: restringe las URL que se pueden utilizar como parte de una <form>acción. En otras palabras, la acción del formulario restringe dónde el navegador puede enviar los datos de los formularios completados. Es importante tener en cuenta que form-action no recurre al default-src, así que asegúrese de definirlo si su sitio web o aplicación utiliza elementos de formulario.

  • Plugin-types: restringe el conjunto de complementos que se pueden incluir.

  • Base-uri: Restringe las URL permitidas en el srcatributo de una baseetiqueta.

Sitios de validacion:

LogoCSP Evaluator
LogoCSP Header Inspector and Validator

Recursos

LogoCSP and Bypasses
LogoBypassing Your Defenses: Common CSP Bypasses | Beyond XSS
LogoContent Security Policy (CSP) BypassHackTricks
LogoContent Security Policy - OWASP Cheat Sheet Series
LogoContent security policy | Web Security AcademyWebSecAcademy
LogoContent-Security-Policy (CSP) Bypass TechniquesMedium
LogoLab: Reflected XSS protected by CSP, with CSP bypass | Web Security AcademyWebSecAcademy
AnteriorDOM-Based Cross Site ScriptingSiguienteBlind XSS

Última actualización