• Natas Level 0 → Level 1

Info

• Username: natas1
• Password: 從上關獲取
• URL: http://natas1.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入
• 嘗試點右鍵會跳出警告視窗說已被阻擋
  • 
• 使用 Ctrl + U 開啟「檢視網頁原始碼」獲得下題的登入密碼
  • 
  • 或者可以直接在 URL 前面加上 view-source: 查看網頁原始碼
    • E.g., view-source:http://natas1.natas.labs.overthewire.org/
  • 也能用 F12 等方式來看到註解而避免觸發 JavaScript
    • 

Note

• Event 允許執行 JavaScript 來達成互動等效果
  • E.g., javascript:alert('right clicking has been blocked!');return false;
  • 發現是透過 oncontexmenu event 來禁止對 <body> 內的 HTML element 點右鍵，而 <body> 包含 HTML 的所有內容，例如標題、文字、圖片等，下圖中的淺藍色範圍就是 <body> 的限制範圍，因此其餘部分仍可任意點右鍵
    • 
    • 所以更狠的話可以直接 Disable JavaScript 來隨便亂點右鍵
      • 
  • 如果跟我一樣，一開始就沒有點在 <body> 內的話應該會很問號，想說這題考點到底是什麼
• 因為可透過 Burp Suite、Wireshark 等各種方法或工具，基本上使用者能任意閱覽和修改前端，所以透過 JavaScript 來保護的方法並不可靠
  • E.g., 以下是個人習慣的 Burp Suite 使用方法

    1. 選擇 Proxy 的 Proxy settings 查看 Proxy listeners 得知預設為 127.0.0.1:8080
       

    2. 安裝 FoxyProxy 插件後，新增 Proxy 設定填入 IP 位址和 port 後儲存 (名稱任意)
       

       

    3. 選擇新增的 Proxy 設定後重新整理網頁
       

    4. 選擇 Proxy 中的 HTTP history，點選重新整理發出的 request，即可看到 Response 中有網頁原始碼及密碼
       

Summary

• 相關弱點：
  • CWE-615: Inclusion of Sensitive Information in Source Code Comments
• 弱點原因：
  • 開發人員將明文密碼寫進 HTML 註解當中，使得使用者皆可任意閱覽、獲取
• 修補建議：
  • 將敏感資訊 (密碼) 從網頁註解中移除並立即更換密碼，以減少資訊洩漏的風險

Reference

• HTML body Tag
• HTML DOM Events
  • oncontextmenu Event
• view-source URI scheme
• What does the JavaScript pseudo protocol actually do?
• Burp Suite - Application Security Testing Software - PortSwigger
• FoxyProxy Standard