浅谈跨域劫持

本篇文章主要讲解一下跨域攻击：

• Jsonp劫持
• Flash跨域劫持
• CORS跨域资源获取

---

Jsonp劫持

Jsonp在2016年就出现了，因为形成危害大多就是泄露敏感信息，好比用户信息，token等，远不如SQL注入，命令执行这些漏洞来的完全，因此老是被人忽视。Jsonp劫持攻击又称为 "JSON Hijacking"，攻击过程相似于csrf，只不过csrf只管发送http请求，可是Json-hijack的目的是获取敏感数据。

而Jsonp(JSON with Padding)是json的一种"使用模式"，可让网页从别的域名(网站)那获取资料，即跨域读取数据。

Jsonp劫持具体讲解与利用

知道创宇   ： JSONP安全攻防技术

Jsonp劫持漏洞挖掘

有不少程序员在写接口的时候都会顺手写个jsonp的接口，能够先开着burp看一下功能点，看看是否有地方用了jsonp

快速寻找Jsonp的接口

开着bp逛一圈，通常有jsonp的数据传输会在mimetype中显示为script，经过排序能够快速得找到

callback的值，就是jsonp回传回来的函数名

而后只要查看传输的数据中是否有敏感信息就能够了

寻找敏感的Json数据

若是jsonp的接口没有敏感信息传输，json数据包中刚好有的话，咱们能够尝试一下程序员是否有开发jsonp的格式，大多数程序员喜欢把jsonp的回传参数命名为callback

固然还有其余的可能，贴一份字典，直接用Intruder Fuzz一下试试：

 

callback=attack cb=attack call=attack jsonp=attack jsonpcallback=attack jsonpcb=attack json=attack jsoncallback=attack jcb=attack

 

漏洞证实

若是最后爆破成功的接口为

http://www.xxx.com/interface?callback=attack

返回的数据为

attack({"value":1})

使用下面的poc:

 

<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>jsonp劫持</title> <script src="js/jquery.min.js"></script> </head> <body> <script type="text/javascript"> $.ajax({ url:"http://xxx.com/interface", dataType:"jsonp", jsonp:"callback", jsonpCallback:"attack", success:function (data) { alert(data.value) } }) </script> </body> </html>

 

jsonp 填写回调参数的名字

jsonpcallback 就是回调参数的值

alert 的地方根据须要更改取值

若是能正常取到值，就说明漏洞存在了

漏洞利用：

这里来看一条请求：

这条请求返回的结果中有手机号（这里我测试的帐号没绑定手机），若是咱们想要以CSRF交互式攻击的方式获取这个手机号该怎么办？

来看看这条请求有callback，而返回结果是否是相似Javascript中的函数？

Javascript原函数定义以下：

function funName(){}

这里是缺乏了函数定义的关键词function和花括号的函数主体部分，只有函数名和函数传参，聪明人已经想到了，这不就至关因而自定义函数被引用了么，而中间那段传参就至关因而一个数组，因此咱们能够先用JS自定义好这个函数，而后再引用这个请求，天然就能够获取到数据了。

这时候咱们能够来构建一下PoC：

<!-- 引用一段如上请求为JS --> <script>function jsonp2(data){alert(JSON.stringify(data));}</script> <script src="http://gh0st.cn/user/center?callback=jsonp2"></script>

使用正常的帐号(绑定过手机号)来测试下：

其余漏洞案例参照乌云：苏宁易购多接口问题可泄露用户姓名、地址、订单商品（jsonp案例）

-------------------------------------------

Flash跨域劫持

首先分享三个参考资料：

1.还有flash跨域漏洞吗？

2.flash跨域数据劫持漏洞

3.flash安全总结

尽管flash宣布再也不维护，可是还有许多视频站正在使用flash做为播放器，本为主要来学习flash跨域读取漏洞

flash(swf)以宿主域出发（而不是使用域）判断 是否为跨域请求。

A站上的flash文件 http://www.a.com/vul.swf，被B站 http://www.b.com/exp.htm 拿去使用。此时 vul.swf 请求a站上的资源是不须要提早获取 http://www.a.com/crossdomain.xml 判断是否有权限，反而vul.swf请求b站上的资源却须要提早判断是否有权限。这一点与js不一样。
          Flash跨域比较经典了，在作web目录资产整理的时候有时候会发现这样的文件 crossdomain.xml ，文件内容若是是以下的，那么就存在Flash跨域问题，以下内容的意思是支持全部域：

<?xml version="1.0"?> <cross-domain-policy> <allow-access-from domain="*" /> </cross-domain-policy>

为何会如此？具体流程是这样的：

gh0st.cn 有一个SWF文件，这个文件是想要获取 vulkey.cn 的 userinfo 的返回响应主体，SWF首先会看在 vulkey.cn 的服务器目录下有没有 crossdoamin.xml 文件，若是没有就会访问不成功，若是有 crossdoamin.xml ，则会看crossdomain.xml 文件的内容里面是否设置了容许 gh0st.cn 域访问，若是设置容许了，那么 gh0st.cn 的SWF文件就能够成功获取到内容。因此要使Flash能够跨域传输数据，其关键就是crossdomain.xml 文件。

当你发现 crossdomain.xml 文件的内容为我如上所示的内容，那么就是存在Flash跨域劫持的。

漏洞案例

在对一个厂商进行测试的时候正好发现了这样的文件：

在这里我须要作两件事：

1.找到一个能获取敏感信息的接口

2.构建PoC

在这里敏感的信息接口以我的中心为例子，PoC使用的是 :

https://github.com/nccgroup/CrossSiteContentHijacking/raw/master/ContentHijacking/objects/ContentHijacking.swf

 

其余漏洞案例：

wooyun----搜狐焦点旗下搜狐家居可劫持任意帐号

------------------------------------------------

CORS跨域资源获取

强烈建议先看一下 ： 跨域资源共享CORS学习笔记

漏洞案例

如上图中我在请求的时候加上了请求头 Origin: http://gh0st.cn，而对应的响应包中出现了 Access-Control-Allow-Origin: http://gh0st.cn 这个响应头其实就是访问控制容许，在这里是容许http://gh0st.cn的请求的，因此http://gh0st.cn是能够跨域读取此网址的内容的~在这里我介绍下Origin：

Origin和Referer很类似，就是将当前的请求参数删除，仅剩下三元组（协议 主机 端口），标准的浏览器，会在每次请求中都带上Origin，至少在跨域操做时确定携带（例如ajax的操做）。

因此要测试是否存在CORS这个问题就能够参考我上面的操做手法了。

怎么利用呢？在这里我使用了github上的开源项目:https://github.com/nccgroup/CrossSiteContentHijacking，readme.md中有具体的说明，这里我就不一一讲解了，那么已经确认问题了，那就须要进一步的验证。

在这里我找到了一处接口，其响应主体内容是获取用户的真实姓名、身份证、手机号等内容：

/daren/author/query （要注意的是这个请求在抓取的时候是POST请求方式，但并无请求正文，通过测试请求正文为任意内容便可）

响应报文正文内容：

这里CrossSiteContentHijacking项目我搭建在了本地(127.0.0.1) http://127.0.0.1/CrossSiteContentHijacking/ContentHijackingLoader.html

根据项目所说的操做去进行参数的配置，而后点击 Retrieve Contents 按钮：

测试以下，测试结果是能够跨域读取的：

 

案例总结

这个问题其实就是对Origin的验证没有控制好，对其进行增强便可。