XSS dans AMP For Email de Gmail rapporte 5 000 $ au chercheur

UN script intersite (XSS) dans AMP for Email, la fonctionnalité de messagerie dynamique de Gmail, a rapporté à un chercheur en sécurité un paiement de 5 000 USD en prime de bogue.

AMP for Email apporte la fonctionnalité AMP aux e-mails riches et interactifs. AMP lui-même est un framework HTML open source utilisé pour optimiser les sites Web pour la navigation Web sur mobile.

Adi Cohen, qui a découvert la faille de sécurité, a déclaré qu’il n’avait aucun problème à trouver un vecteur qui déclenchait un XSS dans le terrain de jeu AMP, mais a trouvé que contourner le filtre XSS de Gmail était une tâche beaucoup plus difficile.

Contextes de rendu

Le “moyen le plus simple de contourner un filtre XSS est de le placer dans un contexte de rendu différent de celui que le navigateur utilisera réellement pour rendre un morceau de code donné”, a observé Cohen dans un article de blog.

Étant donné que AMP for Email interdit les modèles, SVG, mathématiques et CSS, il a plutôt ciblé les feuilles de style comme chemin potentiel vers une charge utile XSS avec plusieurs contextes de rendu.

EN RELATION Vulnérabilités XSS dans Google Cloud, Google Play pourrait entraîner des détournements de compte

Cela nécessitait une divergence entre la façon dont la feuille de style est rendue par le filtre et le navigateur, soit en “menant le filtre à croire qu’une fausse balise de style est réelle”, soit “l’exact opposé”.

Le vecteur initial de Cohen fonctionnait dans le bac à sable car AMP “quitte le contexte CSS dès qu’il rencontre la chaîne ” même s’il n’a pas de crochet fermant () ou au moins un espace blanc après”.

Il a ensuite été capable de “tromper le filtre en lui faisant croire que nous sommes de retour dans le contexte HTML, tandis que le navigateur ignore évidemment entièrement et reste bien dans le domaine du CSS ».

sur le fond

Mais “ce qui ressemblait à un vecteur prometteur dans AMP, semblait beaucoup moins intéressant après que Gmail ait exécuté sa magie dessus”, a déclaré Cohen.

Une percée est survenue lorsqu’il a exploité un sélecteur CSS, qui garantissait que la charge utile était renvoyée inchangée par Gmail – “pas d’échappement ou d’autres mutations”.

Cependant, la charge utile malveillante a provoqué une erreur après que le bac à sable AMP a rencontré ”, alors Cohen a essayé , mais le filtre de Gmail était sage quant à sa ressemblance avec .

Ce qui a fonctionné à la place a été de tester une charge utile bénigne avec un sélecteur codé – parce que Gmail l’a décodé, il pouvait utiliser le sélecteur pour injecter une balise de style de fermeture.

Cohen a signalé le problème à Google le 27 mars 2021 et a remarqué le 7 juillet qu’il avait été corrigé.

Comme Signalé précédemment par La gorgée quotidienneGoogle a abordé un XSS non lié et notable dans AMP For Email en 2019, après que le chercheur en sécurité Michał Bentkowski a exploité les attributs id dans les balises pour activer les attaques de « DOM clobbering ».

EN RELATION Un bogue de contournement d’authentification dans Nextauth.js pourrait permettre la prise de contrôle de compte de messagerie

— to portswigger.net