WEB安全新玩法 [2] 防范前端验证绕过

用户登录,几乎是所有 Web 应用所必须的环节。Web 应用通常会加入一些验证手段,以防止攻击者使用机器人自动登录,如要求用户输入图形验证码、拖动滑动条等。但是,如果验证的逻辑仅仅在前端执行,是很容易被攻击者绕过的。iFlow 业务安全加固平台可以为只使用前端验证的应用打上动态虚拟补丁,使之成为需要前后端配合执行的验证逻辑,大幅度提高攻击者的攻击难度。


以某个开源购物网站为例,其管理员后台登录只使用了前端验证。我们尝试一下,如何在不修改网站源代码的前提下,使用iFlow实现前后端配合身份验证。

一、前端验证的原始网站

原始网站设置了滑动条拖动验证,但仅使用了前端验证,极易被攻击者甚至一般用户绕过。

1.1 正常用户访问

网站管理员在输入账号口令后,必须拖动下方的滑动条到最右端,才能点击登录按钮发送登录信息。

图1

反映在 HTTP 协议层面,是如下交互的:

sequenceDiagram participant 正常用户 participant 浏览器 participant Web服务器 正常用户->>浏览器: 地址栏输入:/shopx/admin.php 浏览器->>Web服务器: 请求:/shopx/admin.php Web服务器->>浏览器: 返回:登录页面 浏览器->>Web服务器: 请求:/shopx/js/drag.js Web服务器->>浏览器: 返回:drag.js 浏览器->>正常用户: 显示:登录页面 正常用户->>浏览器: 填写账号口令 正常用户->>浏览器: 拖动滑动条 Note over 浏览器: 设置前端元素 正常用户->>浏览器: 点击登录按钮 Note over 浏览器: 前端元素验证通过 浏览器->>Web服务器: 发送:登录信息 Web服务器->>浏览器: 返回:登录结果页面 浏览器->>正常用户: 显示:登录结果页面

在实现上,当用户将滑动条拖到最右端时,前端代码将 DOM 中的一个数据元素 validate-status 的值设置为 1

1.2 攻击者访问

使用浏览器自带的开发者工具 (F12) 或者使用浏览器自动化工具 (如 WebDriver),将数据元素 validate-status 的值直接设置为 1

下图显示的是仅使用浏览器自带工具来修改元素:

图2

如此,攻击者无需实际拖动滑动条验证,同样能够发出登录信息。HTTP 协议层面交互如下:

sequenceDiagram participant 攻击者 participant 浏览器 participant Web服务器 攻击者->>浏览器: 地址栏输入:/shopx/admin.php 浏览器->>Web服务器: 请求:/shopx/admin.php Web服务器->>浏览器: 返回:登录页面 浏览器->>Web服务器: 请求:/shopx/js/drag.js Web服务器->>浏览器: 返回:drag.js 浏览器->>攻击者: 显示:登录页面 攻击者->>浏览器: 填写账号口令 rect rgb(250, 128, 128) 攻击者->>浏览器: 【自行修改前端元素】 end 攻击者->>浏览器: 点击登录按钮 Note over 浏览器: 前端元素验证通过 浏览器->>Web服务器: 发送:登录信息 Web服务器->>浏览器: 返回:登录结果页面 浏览器->>攻击者: 显示:登录结果页面

二、iFlow虚拟补丁后的网站

我们在 Web 服务器前部署 iFlow 业务安全加固平台,它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力,成为 Web 应用的虚拟补丁。本例中,iFlow 通过在前端动态插入代码和在后端基于会话的状态保存,使得滑动条验证逻辑在前后端同时进行。

2.1 正常用户访问

iFlow 在前端的拖动滑动条前端脚本中动态插入了一段代码,使得用户在完成拖动滑动条时,浏览器自动向 iFlow 发送一条信息并被 iFlow 保存为一个标记。用户在发送登录信息时,iFlow 检查该标记,对于一个正常用户,这个标记一定是存在的,于是登录过程正常继续。

正常用户的 HTTP 协议交互过程如下:

sequenceDiagram participant 正常用户 participant 浏览器 participant iFlow participant Web服务器 正常用户->>浏览器: 地址栏输入:/shopx/admin.php 浏览器->>Web服务器: 请求:/shopx/admin.php Web服务器->>浏览器: 返回:登录页面 浏览器->>Web服务器: 请求:/shopx/js/drag.js Web服务器->>iFlow: 返回:drag.js rect rgb(160, 250, 160) iFlow->>浏览器: 修改:在drag.js插入代码 end 浏览器->>正常用户: 显示:登录页面 正常用户->>浏览器: 填写账号口令 正常用户->>浏览器: 拖动滑动条 Note over 浏览器: 设置前端元素 浏览器->>iFlow: 请求:/iflow/dragged.dummy rect rgb(160, 250, 160) Note over iFlow: 为会话设置drag_ok标志 end 正常用户->>浏览器: 点击登录按钮 Note over 浏览器: 前端元素验证通过 浏览器->>iFlow: 发送:登录信息 rect rgb(160, 250, 160) Note over iFlow: 会话中有drag_ok标志 end iFlow->>Web服务器: 发送:登录信息 Web服务器->>浏览器: 返回:登录结果页面 浏览器->>正常用户: 显示:登录结果页面

2.2 攻击者访问

如前所示,攻击者强行修改前端元素,可以通过前端验证。但当发送登录信息而 iFlow 检查标记时,由于攻击者之前并未实际拖动滑动条发送标记请求,因此该标记并不存在。iFlow 可以据此判断这是一个攻击者在访问,于是终止登录过程。

攻击者的 HTTP 协议交互过程如下:

sequenceDiagram participant 攻击者 participant 浏览器 participant iFlow participant Web服务器 攻击者->>浏览器: 地址栏输入:/shopx/admin.php 浏览器->>Web服务器: 请求:/shopx/admin.php Web服务器->>浏览器: 返回:登录页面 浏览器->>Web服务器: 请求:/shopx/js/drag.js Web服务器->>iFlow: 返回:drag.js rect rgb(160, 250, 160) iFlow->>浏览器: 修改:在drag.js中插入代码 end 浏览器->>攻击者: 显示:登录页面 攻击者->>浏览器: 填写账号口令 rect rgb(250, 128, 128) 攻击者->>浏览器: 【自行修改前端元素】 end 攻击者->>浏览器: 点击登录按钮 Note over 浏览器: 前端元素验证通过 浏览器->>iFlow: 发送:登录信息 rect rgb(160, 250, 160) Note over iFlow: 会话中无drag_ok标志 end iFlow->>浏览器: 拒绝访问 rect rgb(250, 128, 128) 浏览器->>攻击者: 拒绝访问 end

2.3 代码

iFlow 内置的 W2 语言是一种专门用于实现 Web 应用安全加固的类编程语言。它介于配置和通用语言之间,具备编程的基本要素和针对 HTTP 协议的特有扩展,能为业务系统编写涉及复杂判断和动态修改的逻辑。

考虑到安全产品的使用者通常为非程序员,他们习惯面对配置文件而非一段代码。因此,W2 语言虽包含语言要素,仍以规则文件方式呈现,并采用可以体现层次结构和方便词法校验的 JSON 格式。

用 W2 语言实现上述虚拟补丁的代码如下:

[
    {
        "if": [
            "REQUEST_FILENAME == '/shopx/js/drag.js'"
        ],
        "then": {
            "execution": {
                "directive": "alterResponseBody",
                "op": "string",
                "target": "function dragOk(){",
                "substitute": "function dragOk(){$.get('/iflow/dragged.dummy');"
            }
        }
    },
    {
        "if": [
            "REQUEST_FILENAME == '/iflow/dragged.dummy'"
        ],
        "then": {
            "execution": [
                "SESSION.drag_ok@60 = true"
            ]
        }
    },
    {       
        "if": [
            "REQUEST_FILENAME == '/shopx/admin.php'",
            "@ARGS.s == 'login'",
            "!SESSION.drag_ok"
        ],
        "then": {
            "verdict": {
                "action": "deny",
                "log": "Drag verifycode is not ok!"
            }
        }
    }
]

示例代码中有三条规则,分别作用如下——

第一条规则

当浏览器请求 drag.js 时,iFlow 拦截响应报文,在 dragOK() 函数中插入一个代码片段,其作用是当用户拖拽验证框完成后向服务器发送一条验证请求,即下一条规则中的 /iflow/dragged.dummy

第二条规则

当浏览器请求 /iflow/dragged.dummy 时 (用户拖动完成后由 dragOK() 函数自动发出),iFlow 拦截此请求,将该会话 (SESSION) 存储中的 drag_ok 标志设置为 true

第三条规则

当用户点击登录按钮时发出请求时,iFlow 拦截此请求,检查会话 (SESSION) 存储中的 drag_ok 标志是否为 true (正常用户操作在上一条规则中应该被设置),如果不为 true 则 iFlow 阻止该用户的继续操作。

注意:上述会话中的 drag_ok 标志是保存在服务器端的 iFlow 存储中的,在浏览器端是看不到数据更无法进行修改的。

三、总结

iFlow 使用三条规则在不修改服务器端代码的前提下,透明地实现了在后端执行的拖动验证逻辑。

此外我们可以看到,iFlow 的规则是根据应用的实际情况和对安全功能的特定需求量身定制的,它不具备开箱即用的特点但却适合构造复杂的防护逻辑。

当然,这仅是一个入门的例子,主要是为了体现防御思路和 iFlow 的能力。聪明的读者一定会想到——攻击者可以针对这个防御手段采取对应的攻击方式 (如主动发出后端验证请求),而防御者也可以将防御手段制作得更高明一些 (如 js 混淆、检查滑动速度和时间等),这些我们在以后的例子中再慢慢展开。至少,比起原始的网站系统,现在攻击者没那么容易欺骗 Web 应用了。(张戈 | 天存信息)

posted @ 2021-06-23 15:06  天存信息  阅读(800)  评论(1编辑  收藏  举报