欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

怎样躲开Safari与Chrome、Edge的安全内容策略

来源:本站整理 作者:佚名 时间:2017-09-14 TAG: 我要投稿


一、媒介
2017年9月6日,Talos颁布了一个浏览器漏洞破绽bug细节,这个漏洞破绽bug存在于Microsoft Edge浏览器、老版本的Google Chrome浏览器(CVE-2017-5033)和基于Webkit的浏览器(如Apple Safari,CVE-2017-2419)中。利用这个漏洞破绽bug,入侵攻击者能够绕过服务器设置的内容安全战略(Content Security Policy,CSP),终极能够会招致隐衷信息泄漏。微软表现这属于计划理念的成绩,回绝修复这个漏洞破绽bug。
二、概述
Web利用中有很多根本的安全机制,此中一个是同源(same-origin)战略机制,该机制规定了利用程序代码能够拜访的资本规模。同源战略的根本思惟是,源自于某台服务器上的代码只能拜访同一台服务器上的web资本。
好比,在Web浏览器高低文中履行的某个剧本,假如其起源服务器为good.example.com,那末它就能够拜访同一台服务器上的数据资本。另一方面,依据同源战略的思惟,来自evil.example.com的另一个剧本不克不及拜访good.example.com上的任何数据。
但是,web利用中存在很多漏洞破绽bug,利用这些漏洞破绽bug,入侵攻击者能够绕过同源战略的限定,这一点曾经被很多现实证明。此中最为典型也最为有用的一种入侵攻击技巧是跨站剧本(Cross Site Scripting,XSS)技巧。利用XSS技巧,入侵攻击者能够在浏览器正在履行的原始服务器代码的高低文中拔出长途代码。从浏览器角度来看,拔出的代码看起来与正当利用同样,都源自同一个服务器,因此就会容许这些代码拜访当地资本,终极将隐衷数据泄漏给入侵攻击者,乃至会呈现利用会话挟制征象。
内容安全战略(Content Security Policy,CSP)是进攻XSS入侵攻击的一种安全机制,其思惟因此服务器白名单的情势来设置装备摆设可托的内容起源,客户端Web利用代码能够利用这些安全起源。Cisco研究人员找到了绕过CSP的一种办法,入侵攻击者能够利用这类办法,注入被制止的代码,从而盗取隐衷数据。
三、技巧细节:Talos-2017-0306(CVE-2017-2419, CVE-2017-5033)
CSP界说了一个HTTP头部:Content-Security-Policy,这个头部能够创立一个白名单源,使浏览器只会从战略指定的可托源来履行资本。纵然入侵攻击者找到某种办法完成歹意剧本注入,经由过程在长途剧根源中拔出一段标签胜利提议XSS入侵攻击,在CSP的限定下,长途源仍旧不会与可托源清单婚配,因此也不会被浏览器履行。
Content-Security-Policy头中界说了一条“script-src”指令,这条指令用来设置装备摆设剧本代码所对应的CSP。举个例子,头部中某一行以下所示:
1
Content-Security-Policy: script-src 'self' https://good.example.com
依据这一行,浏览器只能从以后拜访的服务器或许good.example.com这个服务器能力加载剧本资本。
但是,咱们发明Microsoft Edge浏览器(40.15063版仍未修复)、Google Chrome浏览器(已修复)和Safari浏览器(已修复)中存在一个信息泄漏漏洞破绽bug。利用这个漏洞破绽bug,入侵攻击者能够绕过Content-Security-Policy头指定的战略,招致信息泄漏成绩。
漏洞破绽bug利用由三个重要模块组成:(a)在Content-Security-Policy中利用“unsafe-inline”指令,使浏览器支撑内联(inline)剧本代码;(b)利用window.open()关上一个空缺的新窗口;(3)挪用document.write函数将代码写入新创立的空缺窗口工具中,以绕过文档上的CSP限定战略。
这个成绩会影响Microsoft Edge浏览器、老版本的Google Chrome浏览器和Firefox浏览器,缘故原由在于“about:blank”页面与加载该页面的文档属于同一个源,但不受CSP战略限定,基于这些现实,入侵攻击者就能够完成漏洞破绽bug利用。
想懂得更多信息的话,读者能够参考TALOS的漏洞破绽bug申报:TALOS-2017-0306。该申报部门内容摘抄以下:
“ 入侵攻击者能够利用window.open("","_blank")创立一个新页面,而后利用document.write将歹意剧本写入该页面,因为入侵攻击者处于about:blank页面中,因此能够绕过原始页面上的CSP限定战略,胜利拜访其余站点。有人能够会说,这是因为CSP头中利用了不安全内联方法来加载代码才招致这个成绩,但纵然如斯,浏览器也应当阻拦任何情势的跨站通讯行动(好比利用1x1像素大小的跟踪图片等行动)。
about:blank页面与其加载文档属于同一个源,但却不受CSP限定战略影响。在CSP标准文档中,早已明白指出CSP限定战略应当被页面所承继。人人能够参考此标准文档。”
四、相干评论辩论
入侵攻击者能够利用某些漏洞破绽bug履行长途代码、逃逸浏览器沙箱完成对目的体系的拜访及节制,与这些漏洞破绽bug比起来,信息泄漏漏洞破绽bug能够没那末重大。
但是,入侵攻击者能够利用XSS入侵攻击盗取隐衷数据乃至终极节制用户账户,如许成绩就会变得异常重大。内容安全战略恰是为了进攻XSS入侵攻击而计划的,能够让服务器将可托资本添加到白名单中,使浏览器能安全履行这些资本。
很多开发者依附CSP来使本身免受XSS和其余信息泄漏入侵攻击影响,他们异常相信浏览器能支撑这类安全标准。但是,咱们发明分歧浏览器所对CSP的详细完成有所分歧,如许一来,入侵攻击者能够针对特定的浏览器编写特定的代码,以绕过内容安全战略的限定,履行白名单以外的歹意代码。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载