变种XSS:持久控制

0x00 引言

首先声明,这不是一个新洞,看过 Homakov 文章(最后附)以及译文的人想必对这种漏洞有所了解。

但原文写的太过简单(没有说明利用条件、情景和特性),且译文和我的理解略有偏差,于是就有了这篇文章。

这种漏洞已经存在一段时间了,有没有被利用过尚不得知,虽然利用条件较苛刻,但是当符合条件的站点被攻击后, 影响面和影响程度巨大,并且普通用户不知如何清除, 可导致长期持续攻击。

2014年底的时候,这种漏洞的利用条件没有现在苛刻(比如没有Service-Worker-Allowed头),一年过来 W3C 对规范优化了不少(包括安全方面), 相信不久的将来,很快会被标准更新所扼杀了。

弥留之际,让这个漏洞放点异彩吧。

0x01 一切都从 serviceWorker 说起

Service Worker是基于Web Worker的事件驱动的,他们执行的机制都是新开一个线程去处理一些额外的,以前不能直接处理的任务。对于Web Worker,我们可以使用它来进行复杂的计算,因为它并不阻塞浏览器主线程的渲染。而Service Worker,我们可以用它来进行本地缓存,相当于一个本地的proxy。说起缓存,我们会想起我们常用的一些缓存技术来缓存我们的静态资源,但是老的方式是不支持调试的,灵活性不高。使用Service Worker来进行缓存,我们可以用javascript代码来拦截浏览器的http请求,并设置缓存的文件,直接返回,不经过web服务器,然后,做更多你想做的事情。

  • 我们可以用 javascript 代码来拦截浏览器的 http 请求,并设置缓存的文件,直接返回

相信很多人看到这句已经明白了,通过 js 来代理浏览器 http 请求,也就是说通过执行 js 代码来控制浏览器的请求, 很容易想到,利用 xss 来修改浏览器请求的返回内容。

可怕的是,即便 xss 漏洞被修复了,攻击仍然持续,并且渗透到攻击范围内的每一个 url。

并且,当用户察觉到攻击,并且理解这种攻击,进入chrome后台(chrome://appcache-internals), 进行手动清除攻击缓存,攻击仍未失效!当然了,还是有办法清除的,且无须用户手工操作(下文会演示)。

0x02 漏洞原理和演示

serviceWorker 的官方标准文档:http://www.w3.org/TR/service-workers/

其操作可以参考:https://github.com/w3c-webmob/ServiceWorkersDemos

首先 serviceWorker 只有在 https 页面中才可以调用 regist。

而 serviceWorker 需要 Promise 支撑,目前支持的浏览器如下:

支持 serviceWorker 的浏览器:

firefox 默认关闭 serviceWorker,可以通过 about:config 打开开关:

支持 fetch 方法(抓包)的浏览器:

开始尝试攻击:

首先在 https 站点中找到一个 Xss,利用 Xss 注册一个 serviceWorker.registration 实例:

navigator.serviceWorker.register(url).then(function(registration) {
  console.log(registration);
});

注意到有个未知参数 url,这个 url 就是拿来放我们的攻击代码(假设我们能上传一个js到根目录):

var url = '//victim.com/evil.js'

有人说这太难了,往根目录上传 js 文件不可能,那么可以尝试在子目录/任何一个可能的目录上传js文件, 或者和 Homakov 一样,利用 jsonp 接口来代替这个恶意 js 文件。

serviceWorker.register 只支持请求文件返回头的MIME类型为:text/javascript, application/x-javascript, application/javascript

我们知道,jsonp 的 callback 经常是可控的,那么找到一个这样可以写代码的 jsonp 难不难?

Google it !

点击第一个链接:

可以看到,以 taobao.com 为例,第一个 jsonp 接口就存在这样的弱点:callback 可以写入任意代码。

退一步说,只要能输入 []!() 等几个符号,就能构造任意代码了。

以往安全工程师修复 jsonp 接口的 xss 漏洞,都是将页面的 mime 修改为 application/javascript, 或者将 callback 的参数中的html符号实体转义,就觉得杜绝 xss 了,看来以后得换个修法了

若 callback 仅仅代表一个函数名,何不只允许数字、字母和下划线呢?

往 “js/jsonp接口” 里写入恶意代码:

onfetch = function(e) {
  e.respondWith(new Response('任意内容',{
      headers
      ...
    });
  );
}

通过 onfetch 方法拦截 http 请求,并构造返回内容,比如返回:<script>alert(/xss/)</script>

所有在 evil 路径下的请求的内容都被篡改。


让我们本地测试还原一遍场景(注意:本地测试不需要 https):

首先打开网站:

打开正常页面:

这时候点击被攻击页面,此页面事先被注入了 XSS 脚本:

可以看到,这时候 serviceWorker 已经成功注册了

刷新页面,此时返回内容以及被修改了:

这时候再看正常页面,也被攻击了:

首页也是相同的情况:

关闭浏览器,再打开,依旧如此:

0x03 优势、局限性

  • 优势
    • 生存周期久(即便浏览器重启还在)
    • 一旦中招不易清除,包括用户和网站业务方
  • 局限性
    • 需要同域中同时存在 XSS 和弱点 JSONP(或可控js文件)
    • 感染路径受弱点 js 路径的限制
    • 被攻击站点必须是 https

实际利用中,若弱点JSONP路径中不存在网站业务,这个漏洞依然能发挥一定价值。

比如:杀死该JSONP路径以及其子目录的全部接口,从而导致网站无法正常使用。

0x04 中止及防范攻击

1. 如何中止攻击

从上文可以知道,即便 xss 被修复了或者消失了,攻击依然生效,那么如何中止攻击呢?

作为一个普通用户,首先尝试打开 chrome://inspect/#service-workers 查看存活:

的确可以看到被用作攻击的 Worker,点击 terminate 尝试中止:

可以看到以及被清理了,但是打开页面,攻击仍然存在!

浏览器中打开F12,在console中输入:navigator.serviceWorker., 可以看到有 getRegistration 和 getRegistrations 这两种属性。

查询文档:https://developer.mozilla.org/en-US/docs/Web/API/ServiceWorkerContainer/getRegistration

尝试获取注册器,并且调用注销(由于用到 Promise,需要使用 then 调取结果):

navigator.serviceWorker.getRegistration()
  .then(function(registration) {
  registration.unregister();
});

这一次终于清除了。

而对于网站方,如何清除所有攻击呢?

只要将“清除代码”部署在一个未受感染的同域的页面里,当用户访问过后,自然就清除了。

2. 防范方法:

  1. Jsonp 接口的 callback 可以做白名单,或者只允许特定字符(比如数字、字母和下划线)。
  2. Jsonp所在域不应该存在 XSS(一切类型),至少不应该存在业务页面。
  3. 如果做不到2,Jsonp 所在 url 路径下不应该存在网站业务。
  4. 域名内不应存在用户可控的 js 文件。

reference:

  • http://www.w3.org/TR/service-workers/
  • https://github.com/w3c-webmob/ServiceWorkersDemos
  • http://sakurity.com/blog/2015/08/13/middlekit.html
  • https://jakearchibald.github.io/isserviceworkerready/
  • https://developer.mozilla.org/en-US/docs/Web/API/

原文发布于微信公众号 - 我为Net狂(dotNetCrazy)

原文发表时间:2016-07-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏分布式系统进阶

记一次Kafka集群的故障恢复Kafka源码分析-汇总

3353
来自专栏菩提树下的杨过

FluorineFx应用中“页面长时间不动”导致无法连接的解决办法

如题,在FluorineFx的实时视频交互应用中,如果页面长时间不动,可能会导致flash中的NetConnection对象断开连接,其原因我没有深入研究,不过...

1905
来自专栏光变

Maven项目遇到的BUG汇总

Maven使用的过程中,可能会遇到各种各样的问题。 下面介绍项目中遇到的两个BUG.

953
来自专栏H2Cloud

ffrpc-c++进程间(服务器端、客户端)通信框架

FFRPC github 地址 https://github.com/fanchy/FFRPC FFRPC 已经陆陆续续开发了1年,6月6日这天终于完成了我比较...

4194
来自专栏Spark学习技巧

tailf、tail -f、tail -F三者区别

数据采集,浪尖公司一直是自己公司写的agent和插件,今天新增业务要快速上线,就想试试flume。结果是用flume,采用tail -f 监控文件的方式,然后发...

3295
来自专栏非典型程序猿

使用与源码剖析(一)

1.6K10
来自专栏pangguoming

ubuntu 64位android项目报错的解决方案,打开64位 Ubuntu 的32位支持功能

ubuntu的64位下的android环境,说实话,还真得费点精力了,解决一个问题,又出来一个新问题。 小编昨天刚好不容易将android的环境搭建好了,这不,...

2915
来自专栏BIT泽清

app 安全和ios及安卓马甲包代码混淆的demo的手把手教你的详细教程

App Security And CodeConfuse (app 安全和代码混淆的demo的手把手教你的详细教程)

8761
来自专栏三杯水

Redis集群性能问题深度分析

Redis开发与运维 https://redis.io/ http://www.redis.cn/ https://github.com/antirez/...

8411
来自专栏顶级程序员

Linux吃掉我的内存

在Windows下资源管理器查看内存使用的情况,如果使用率达到80%以上,再运行大程序就能感觉到系统不流畅了,因为在内存紧缺的情况下使用交换分区,频繁地从磁盘...

3935

扫码关注云+社区

领取腾讯云代金券