去年跨过的浏览器.ppt

研究对象 为什么是浏览器？ 被神化的浏览器入口！各大互联网巨头推出自己的浏览器。 为什么都是山寨浏览器？ “形似而神不是”：对本尊安全防御体系理解不到位。 “一将功成万骨枯”：白骨堆砌了现在主浏览器的安全体系。 “老太太吃柿子，拣软的捏”：山寨对安全不设防！ 漏洞类型 没有溢出，也没有Crash！ 这些都是高富帅的嗜好。 屌丝只有各种弹、弹、弹！ 99%的漏洞类型为：SOP Bypass＋XCS。 同源策略（SOP） 浏览器安全核心基础： 同源策略（Same-Origin Policy） /Security/wiki/Same_Origin_Policy 源(origin)指使用域名、协议、端口。 Cross Context Scripting（XCS） 什么是XCS？ 这个词语最早是pdp 在2006年写的文《CROSS CONTEXT SCRIPTING WITH SAGE》里提出。 SAGE是firefox一个rss订阅插件，在处理rss的“内容（Context）”没有过滤到导致了一个XSS。而这个XSS是在firefox的chorme://域下执行的。 后面的研究者发现一系列类似漏洞在浏览器“特权域（privileged browser zone）”里的xss，所以都沿用了“Cross Context Scripting”这个名词。 XCS与“特权域” 所以XCS是指在浏览器“特权域”里的XSS。 在IE里有个词“Cross-zone scripting”我认为更贴切。 /wiki/Cross-zone_scripting 浏览器的“特权域”成为我们的关注的要点。 每个浏览器都有自己的“特权域” 每个浏览器“特权域”的职能和对应协议可能更不相同 浏览器里的“特权域” 实现浏览器管理的协议（设置、访问历史、收藏夹等） Chrome – chrome:// Opera – opera:// Maxthon – about: 实现浏览器插件的协议(有与OS沟通的API) Firefox – chrome:// Chrome – chrome-extension:// 本地文件域 几乎所有浏览器都支持的– file:// 其他特殊“特权域” 如信任站点（http://） XCS的攻击流程 找到一个“特权域”下的XSS漏洞。（找漏洞） 让用户访问触发这个XSS漏洞。（触发漏洞） 利用浏览器“特权域”里的“特权” （漏洞利用） 寻找XCS漏洞 找XSS漏洞就是找数据的采集与展示 “特权域”的职能决定了采集的数据来源 i、浏览器的访问历史、收藏夹等功能直接决定了浏览器访问的URL及URL里title为主要的数据来源 ii、浏览器实现与网页内容相关的功能及插件。如RSS /XML阅读插件、网页处理、单词翻译等。这些的主要数据来源就是网页的“内容（代码）” iii、其他一些功能相关数据输入及特权域里一些交互功能里数据输入等。 被污染的URL URL的结构 location.hash(fragment)是最常见被忽视的部分 被污染的URL Maxthon 3 about:history XSS POC：访问/xxx=ss# onload=alert(1) a= 被污染的URL 猎豹浏览器liebao://bookmarks/ XSS POC：访问并收藏如下URL /?aa=/# iframe src=/iframe 被污染的URL 猎豹浏览器liebao://history/ XSS POC：访问/# iframe src= 被污染的URL 阿里云浏览器fIle:// XSS POC：访问file://aaaa/test.htm#ssh1s=sss 邪恶的title 浏览器的访问历史、收藏夹等功能会提取网页的title 这个是另外一个忽视的数据点。 “时刻准备着！！！” 邪恶的title 猎豹浏览器liebao://history/ XSS-2 poc.htm: htmltitle/divscriptalert(document.location);/script/title/html 邪恶的title 猎豹浏览器 chrome://newtab XSS 邪恶的title 猎豹浏览器 chrome://last XSS 邪恶的title 世界之窗浏览器 tw:blank XSS 危险的“内容” Maxthon about:reader xss 其他 Maxthon about:config xss 其他 QQ浏览器 qqbrowser:favorite xss 触发XCS漏