# Server Side Inclusion/Edge Side Inclusion Injection {{#include ../banners/hacktricks-training.md}} ## Server Side Inclusion Basic Information **(Uvod preuzet iz** [**Apache docs**](https://httpd.apache.org/docs/current/howto/ssi.html)**)** SSI (Server Side Includes) su direktive koje se **postavljaju u HTML stranice i evaluiraju na serveru** dok se stranice serviraju. Omogućavaju vam da **dodate dinamički generisani sadržaj** postojećoj HTML stranici, bez potrebe da se cela stranica servira putem CGI programa ili druge dinamičke tehnologije.\ Na primer, možete postaviti direktivu u postojeću HTML stranicu, kao što je: `` I, kada se stranica servira, ovaj fragment će biti evaluiran i zamenjen svojom vrednošću: `Tuesday, 15-Jan-2013 19:28:54 EST` Odluka kada koristiti SSI, a kada imati vašu stranicu potpuno generisanu nekim programom, obično zavisi od toga koliko je stranica statična, a koliko treba da se preračunava svaki put kada se stranica servira. SSI je odličan način da dodate male delove informacija, kao što je trenutni vreme - prikazano iznad. Ali ako se većina vaše stranice generiše u trenutku kada se servira, treba da potražite neko drugo rešenje. Možete naslutiti prisustvo SSI ako web aplikacija koristi datoteke sa ekstenzijama **`.shtml`, `.shtm` ili `.stm`**, ali to nije jedini slučaj. Tipična SSI ekspresija ima sledeći format: ``` ``` ### Proveri ```javascript // Document name // Date // File inclusion // Including files (same directory) // CGI Program results // Including virtual files (same directory) // Modification date of a file // Command exec // Command exec // Reverse shell // Print all variables // Setting variables ``` ## Edge Side Inclusion Postoji problem **keširanja informacija ili dinamičkih aplikacija** jer deo sadržaja može da **varira** za sledeći put kada se sadržaj preuzme. To je ono za šta se koristi **ESI**, da označi korišćenje ESI oznaka za **dinamički sadržaj koji treba da se generiše** pre slanja keširane verzije.\ Ako **napadač** može da **ubaci ESI oznaku** unutar keširanog sadržaja, onda bi mogao da **ubaci proizvoljan sadržaj** u dokument pre nego što bude poslat korisnicima. ### ESI Detection Sledeća **zaglavlja** u odgovoru sa servera znači da server koristi ESI: ``` Surrogate-Control: content="ESI/1.0" ``` Ako ne možete pronaći ovaj header, server **možda koristi ESI u svakom slučaju**.\ **Pristup slepom eksploatisanju se takođe može koristiti** jer bi zahtev trebao stići do servera napadača: ```javascript // Basic detection hello // If previous is reflected as "hello", it's vulnerable // Blind detection // XSS Exploitation Example // Cookie Stealer (bypass httpOnly flag) // Introduce private local files (Not LFI per se) // Valid for Akamai, sends debug information in the response ``` ### ESI eksploatacija [GoSecure je kreirao](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) tabelu kako bi razumeo moguće napade koje možemo pokušati protiv različitih ESI-capable softvera, u zavisnosti od podržane funkcionalnosti: - **Includes**: Podržava `` direktivu - **Vars**: Podržava `` direktivu. Korisno za zaobilaženje XSS filtera - **Cookie**: Kolačići dokumenta su dostupni ESI engine-u - **Upstream Headers Required**: Surrogate aplikacije neće obraditi ESI izjave osim ako upstream aplikacija ne obezbedi zaglavlja - **Host Allowlist**: U ovom slučaju, ESI uključivanja su moguća samo sa dozvoljenih server hostova, što čini SSRF, na primer, mogućim samo protiv tih hostova | **Softver** | **Includes** | **Vars** | **Kolačići** | **Upstream Headers Required** | **Host Whitelist** | | :--------------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: | | Squid3 | Da | Da | Da | Da | Ne | | Varnish Cache | Da | Ne | Ne | Da | Da | | Fastly | Da | Ne | Ne | Ne | Da | | Akamai ESI Test Server (ETS) | Da | Da | Da | Ne | Ne | | NodeJS esi | Da | Da | Da | Ne | Ne | | NodeJS nodesi | Da | Ne | Ne | Ne | Opcionalno | #### XSS Sledeća ESI direktiva će učitati proizvoljnu datoteku unutar odgovora servera ```xml ``` #### Obilaženje zaštite od XSS na klijentu ```xml x=>alert(/Chrome%20XSS%20filter%20bypass/);> Use to bypass WAFs: ipt>alert(1)ript> error=alert(1)> ``` #### Ukradi kolačić - Udaljeno ukradeni kolačić ```xml ``` - Ukrao HTTP_ONLY kolačić pomoću XSS tako što ga odražava u odgovoru: ```bash # This will reflect the cookies in the response # Reflect XSS (you can put '">