Bug2Lab — Reflected XSS в сообщении об ошибке

Reflected XSS в сообщении об ошибке

Пользователь отправляет во входные данные фрагмент HTML/JS. Сервер возвращает это прямо в страницу ошибки без экранирования — скрипт выполняется в браузере другого пользователя. В этой лабораторной мы фиксируем правило «никогда не печатай сырые данные пользователя в HTML».

Как выглядит атака

Злоумышленник отправляет: name=<script>alert('XSS')</script>. Ответ страницы рендерит это прямо в HTML. В итоге чужой браузер выполняет внедрённый JS.

POST /feedback
400 Bad Request

<div class="error">
Неверное имя: <script>alert('XSS')</script>
</div>

Почему это стало возможным

Код просто вставляет параметр пользователя в HTML без экранирования. То есть мы доверяем тому, что нам прислал клиент — и печатаем это как есть.

Проблемный код

        @PostMapping("/feedback")
      
        public String sendFeedback(@RequestParam String name, Model model){
      
            if(name.isBlank()){
      
                model.addAttribute("error","Неверное имя: " + name); // ❌ сырое вставление
      
                return "errorPage";
      
            }
      
            // ...
      
            return "ok";
      
        }

Как это чинится правильно

Любой пользовательский ввод выводится только через безопасный биндинг/экранирование в шаблоне. Никакой «строкой склеили HTML». Мы не конкатим теги руками.

Исправленный паттерн

        @PostMapping("/feedback")
      
        public String sendFeedback(@RequestParam String name, Model model){
      
            if(name.isBlank()){
      
                model.addAttribute("errorName", name); // ✅ храним отдельно
      
                return "errorPageSafe"; // шаблон сам экранирует ${errorName}
      
            }
      
            return "ok";
      
        }

bug2regress Регрессионный тест (стоп-кран)

Мы шлём валидационную ошибку с пейлоадом <script>alert('XSS')</script> и проверяем, что в ответе нет сырых тегов <script>. Если теги вернулись в тело ответа — релиз стопаем.

#!/bin/bash # xss-check.sh PAYLOAD="<script>alert('XSS')</script>" RESP=$(curl -s -X POST \ -d "name=$PAYLOAD" \ https://staging.example.internal/feedback) echo "$RESP" | grep "<script>" && { echo "[BLOCK] Reflected XSS: сырые теги в ответе" exit 1 } echo "[OK] Пользовательский ввод экранируется" exit 0

Это гарантирует, что "вернули сырое значение пользователя в HTML" больше не доедет до продакшена молча.

Проверка понимания Что пошло не так?

Приложение выводило пользовательский ввод в HTML без экранирования, позволяя выполнить скрипт в браузере другого пользователя.

Секрет базы данных был в application.yml.

Решение — никогда не конкатенировать сырые параметры в HTML, а экранировать/биндить безопасно на уровне шаблона.

Решение — отключить TLS.

Стандарт после лабораторной: любой пользовательский ввод на странице отображается ТОЛЬКО через безопасный биндинг (экранирование). Никогда — через ручную конкатенацию строк.

Теория (по желанию) Чем опасен XSS и почему «просто alert» — не смешно

💉 1. Что вообще такое Reflected XSS?

Reflected XSS = когда злоумышленник подсовывает нам кусок HTML/JS, а наше приложение честно возвращает его обратно в ответ, как будто это нормальный текст.

В итоге браузер жертвы исполняет этот скрипт так, будто он часть доверенной страницы. То есть это не «кто-то запустил код у себя» — это наш сайт заставил браузер пользователя выполнить чужой код.

💳 2. Что злоумышленник может сделать с помощью XSS?

XSS ≠ «всплывающее окошко alert()». Это просто демка. В реальности можно:

🔐 Украсть сессию пользователя (его session cookie / токен). То есть злоумышленник залогинится как этот пользователь.
📝 Подписать пользователя на действия без его ведома — например, изменить email в аккаунте, отвязать 2FA, сделать платёж.
📤 Слить приватные данные со страницы (чаты, номера заказов, персональные данные) на внешний сервер атакующего.
🎨 Подменить интерфейс (подсунуть фейковую форму «Введите заново номер карты, истёк токен безопасности»).

То есть через XSS атакующий буквально может жить внутри браузера другого пользователя от имени вашего бренда.

📣 3. Как это выглядит для внешнего мира?

Самое неприятное то, что пользователь не думает «меня взломали через XSS и вредоносный пейлоад». Он думает:

«Сайт компании сам показал форму и сам попросил карту» 😬
«Сайт компании слил мои личные данные третьим лицам» 🤬
«Это сервис компании списал деньги без моего согласия» 💸

То есть удар летит по вам, не по атакующему. Вы выглядите как площадка, которая позволила себя использовать для фрода.

🧪 4. Почему вообще кто-то печатает сырые данные пользователя?

Очень частая ситуация из продовой жизни:

Разработчик хотел показать пользователю понятную ошибку: «Неверное имя: <то, что он ввёл>».
Чтобы не городить сложную валидацию/биндинг, он сделал "Неверное имя: " + name и отдал это в шаблон.
Шаблон тупо выводит эту строку и не экранирует HTML.

То есть это не «мы хотели дырку». Это «мы хотели быть дружелюбными к пользователю». Атака получается побочным эффектом «хотели показать точное сообщение об ошибке».

🔁 5. Почему XSS возвращается снова и снова в других формах

Даже если мы перепишем конкретный /feedback, завтра появится новый контроллер типа /ticket/create, и другой разработчик (или тот же, но уставший) снова захочет отдать «ошибку валидации» сырым текстом в HTML.

Это не баг одной формы. Это паттерн: «у нас нет жёсткого правила, что в HTML нельзя печатать сырые параметры из запроса». Пока нет такого правила — XSS будет возвращаться.

📏 6. Что становится стандартом после этой лабораторной

🧼 Никакой ручной склейки HTML через конкатенацию строк с пользовательским вводом ("<div>" + param + "</div>" — запрещено).
🔒 Любой вывод пользовательского ввода делается через движок шаблонов / компонент фронта, который экранирует спецсимволы (<, >, ", и т.д.).
🚫 Валидационные сообщения нельзя строить так, чтобы «сырое» значение пользователя шло напрямую в HTML без фильтра.

Это не "пожелание безопасников", это требование кода. То же самое, что форматирование логов или обработка исключений.

🛡️ 7. Почему нам важен регресс-тест, а не просто «ребята, не делайте так»

Мы не рассчитываем на память разработчиков. Мы рассчитываем на пайплайн.

🤖 Тест отправляет вредоносный инпут с тегами <script>.
🔍 Смотрит ответ сервиса.
⛔ Если теги вернулись сырыми — билд падает, релиз не едет.

Это превращает XSS из «инцидента в проде и публичного позора» в «CI поругался, поправили за 10 минут».

📄 8. Что теперь можно честно показать руководству / аудитору

✅ Уязвимость XSS была идентифицирована в конкретном месте (форма ввода).
👩‍💻 Команда обучена, почему XSS = захват сессии и фрод от имени бренда.
🧼 Принят стандарт: пользовательский ввод никогда не печатается сырым.
🚦 В пайплайн внедрён автоматический тест, стопающий релиз, если защита снова исчезнет.

Это важно: теперь это не «мы верим, что такого больше не будет», а «мы сделали так, что это больше не может прилететь в прод незамеченным».

✅ 9. Главное, что должна помнить команда

XSS — это не «alert()», это кража сессий и действий от имени пользователя.
Никогда не печатаем сырые данные пользователя в HTML без экранирования. Никогда.
Сообщения об ошибках тоже опасны, не только «комменты» и «чат».
Регресс в CI/CD ломает билд, если кто-то снова попытается отдать сырое значение обратно в HTML.

Это теперь часть Definition of Done. Не «по возможности», а «обязательно».

bug2regress Регрессионный тест (стоп-кран)

Проверка понимания Что пошло не так?

Теория (по желанию) Чем опасен XSS и почему «просто alert» — не смешно раскрыть

Теория (по желанию) Чем опасен XSS и почему «просто alert» — не смешно