Electron流行開源框架存在XSS漏洞 github wordpress等均受影響
Electron 是一個由node.js��,V8和Chromium構成的開源框架�����,該框架已被廣泛用于流程的桌面應用程序���,包括Github桌面�����,WordPress等;研究員發現通過錯誤配置�����,將允許惡意應用程序訪問Node.js API和模塊并濫用更多操作系統功能����。
安全專家發現了Electron 軟件框架中的一個漏洞�����,該漏洞 已被用于構建大量流行的桌面應用程序����。 流行的桌面應用程序(包括Skype�,Slack���,GitHub桌面��,Twitch�����,WordPress.com等)可能受到影響���。
Electron框架 是由node.js��,V8和Chromium構成的開源框架
Electron是一個node.js��,V8和Chromium開源框架��,允許開發人員使用JavaScript����,HTML和CSS等Web技術來構建桌面應用程序���。 在構建基于Electron框架的應用程序時���,開發人員可以選擇Electron API或Node.js API及其模塊�����。 Node.js API和內置模塊為開發人員提供了與操作系統更廣泛的集成�,并允許訪問更多的操作系統功能�。
為了防止濫用操作系統功能��,Electron團隊創建了一種機制�,可以防止基于其框架的應用程序受到攻擊�����。
“電子應用程序本質上就是網絡應用程序����,這意味著它們很容易受到跨站點腳本攻擊��,因為未能正確清理用戶提供的輸入����。默認的Electron應用程序不僅包括訪問其自己的API��,還包括訪問所有Node.js的 內置 模塊�?���!白x取 Trustwave發布 的分析�?��!斑@使得XSS特別危險�,因為攻擊者的有效載荷可以允許 執行 一些令人討厭的事情����,比如在child_process 模塊中需要并在客戶端執行系統命令���?!?
Election框架 設置 webviewTag:false”選項 可造成XSS漏洞
在桌面上運行HTML和JS代碼的應用默認情況下啟用了“nodeIntegration:false”選項��,這意味著默認情況下禁用對Node.js API和模塊的訪問����。
該網頁視圖標簽 功能允許開發嵌入內容����,如網頁��,為電子應用程序并運行它作為一個單獨的進程����。
通過分析:
使用WebView標簽時���,您還可以傳入許多屬性�,包括 nodeIntegration ���。 WebView容器默認情況下沒有啟用nodeIntegration���。
當webPreferences配置文件中的webviewTag設置為false時��,nodeIngration也設置為false���,但是����,如果開發人員不聲明webviewTag����,那么Electron應用程序會將nodeIntegration設置為false�����。
研究員Brendan Scarvell發現可以將nodeIntegration選項設置為“true”���,將允許惡意應用程序訪問Node.js API和模塊并濫用更多操作系統功能���。
Scarvell解釋說��,如果基于Electron的應用程序的開發人員沒有在webPreferences配置文件中專門設置“webviewTag:false”選項��,則攻擊者可以利用應用程序內部的跨站點腳本(XSS)漏洞創建新的WebView組件窗口來更改設置并將nodeIngration標志設置為“true”����。
XSS(跨站腳本攻擊)漏洞解決辦法
該專家發布了POC��,攻擊者可以利用這些代碼來利用任何XSS漏洞并訪問底層操作系統�����。
“如果發現 禁用 了 nodeIntegration 選項 的Electron應用程序�����,并且該應用程序 通過對用戶輸入進行糟糕的清理或應用程序的其他依賴項存在漏洞而包含XSS漏洞�,則上述概念驗證可以允許遠程執行代碼該應用程序正在使用易受攻擊的Electron版本(版本<1.7.13�,<1.8.4或<2.0.0-beta.3)����,并且尚未 手動 選擇以下選項之一:
●webviewTag: false 在 其 webPreferences中 聲明 �����。
●在其 webPreferences中 啟用nativeWindowOption選項 ����。
●攔截新窗口事件和覆蓋事件��。 newGuest 沒有使用提供的選項標簽�。
