重生之毒妃梅果小说,小说,好看的言情小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

利用內(nèi)容安全策略探測網(wǎng)站登陸狀態(tài)

0x01 內(nèi)容安全策略(Content Security Policy，簡稱CSP)簡介

十余年的開江網(wǎng)站建設(shè)經(jīng)驗，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。網(wǎng)絡(luò)營銷推廣的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整開江建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)從事“開江網(wǎng)站設(shè)計”,“開江網(wǎng)站推廣”以來，每個客戶項目都認真落實執(zhí)行。

內(nèi)容安全策略(Content Security Policy，簡稱CSP)是一種以可信白名單作機制，來限制網(wǎng)站中是否可以包含某來源內(nèi)容。默認配置下不允許執(zhí)行內(nèi)聯(lián)代碼

[script ]塊內(nèi)容，內(nèi)聯(lián)事件，內(nèi)聯(lián)樣式，以及禁止執(zhí)行eval() , newFunction() , setTimeout([string], …) 和setInterval([string], …) 。

CSP更詳盡的介紹可以在drops看到：http://drops.wooyun.org/tips/1439

0x02 大環(huán)境介紹與原理

簡單了解一下CSP，我們知道CSP可以限制網(wǎng)站中可否包含某來源的內(nèi)容。同時，csp還可以在頁面違反規(guī)則的時候發(fā)送一個數(shù)據(jù)包，將具體細節(jié)通知給服務(wù)端。

我們再來想想像支付寶這種集成度很高的網(wǎng)站服務(wù)，當我們在未登錄的情況下訪問alipay的某個子域名(如test.alipay.com)，很可能是會302跳轉(zhuǎn)到一個用戶登陸專用的域名(如login.alipay.com)下要求用戶登錄。而在已登錄的情況下是不會跳轉(zhuǎn)的。

這就造成了一個登錄/未登錄的一個差別，主要差別如下：

HTTP狀態(tài)碼(302和200)

最終訪問的域名(test.alipay.com和login.alipay.com)

因為瀏覽器SOP(同源策略)的限制，正常情況下我們是無法獲取到alipay域名下HTTP狀態(tài)碼的。

但結(jié)合CSP安全策略，我們卻可以簡單獲得第2個，也就是最終訪問域名。為什么?

我前面說了CSP是可以限制頁面中允許加載哪些來源的內(nèi)容的。所以，當我們將CSP設(shè)置為只接受來源為test.alipay.com的內(nèi)容，那么當加載來源為login.alipay.com的請求時就會被CSP策略拒絕，并可以將這個訪問report給服務(wù)端，我們通過report的內(nèi)容就能判斷用戶訪問的是test還是login。過程如下：

這就是原理，很贊的一個思路，再次崇拜一次@/fd。#p#

0x03 以支付寶為例編寫探測代碼

所以，根據(jù)上面的思路，我們第一步就是找到一個這樣的頁面：登錄、未登錄用戶訪問時到達的“域名”不相同。這里的“域名”包括protocol和hostname，也就是說http://test.alipay.com和https://test.alipay.com是不同的域名。

像支付寶這種網(wǎng)站有很多這樣的頁面，因為支付寶的很多服務(wù)是登錄用戶才能查看的，而登錄入口又只有那么一個。

比如這個URL：https://my.alipay.com/portal/i.htm，當未登錄用戶訪問的時候會跳轉(zhuǎn)到https://auth.alipay.com/login/index.htm，已登錄用戶訪問時不會跳轉(zhuǎn)。

這時候我們將CSP的img-src限制為https://my.alipay.com，再將https://my.alipay.com/portal/i.htm作為img的src，這個時候就會出現(xiàn)一個有趣的現(xiàn)象：未登錄的用戶訪問時，會觸發(fā)CSP規(guī)則。

因為未登錄的用戶訪問時實際img加載的src是https://auth.alipay.com/login/index.htm，不符合CSP限制的img-src，自然就觸發(fā)規(guī)則了。這時候我們在設(shè)置CSP的report-uri為report.php，不符合規(guī)則的請求會被記錄下作為日志發(fā)送到report.php里：

不過瀏覽器在發(fā)送這個report包的時候是不帶cookie的，所以服務(wù)器那邊并不能直接判斷是哪個用戶發(fā)送的report包，所以我們在report的GET參數(shù)里帶上用戶的session id。

示例代碼如下：

 
 
 
  
  
    
  
  
session_start();    
  
  $ssid = session_id();    
  
  header("Content-Security-Policy:img-src https://my.alipay.com; report-uri report.php?ssid={$ssid}");    
  
  ?>    
  
      
  
      
  
      
  
  支付寶登陸檢測    
  
      
  
      
  
      
  
      
  
      
  
  function check()    
  
  {    
  
      with(new XMLHttpRequest) {    
  
          open('GET', 'alipay.php');    
  
          send();    
  
          onreadystatechange = function() {    
  
              if (readyState ^ 4) return;    
  
              result.innerHTML = parseInt(responseText) > 0 ? '未登錄' : '已登錄';    
  
          }    
  
      }    
  
  }

report.php用來記錄：

 
 
 
  
  
    
  
  
session_start();    
  
  if (preg_match('/^[a-z0-9]*$/i', $_GET['ssid'])) {    
  
      session_id($_GET['ssid']);    
  
  }else{    
  
      exit;    
  
  }    
  
  $report = file_get_contents("php://input");    
  
  if (!emptyempty($report)) {    
  
      $_SESSION['nologin'] = 1;    
  
  }else{    
  
      $_SESSION['nologin'] = 0;    
  
  }    
  
  ?>

當接收到php://input的時候說明CSP發(fā)送報告了，說明請求違反的CSP規(guī)則了，也就意味著用戶沒有登錄，所以將session中的nologin設(shè)置為1。然后在index.php里用一個ajax來向alipay.php請求，實際上就是獲得$_SESSION[nologin]的值：

 
 
 
  
  
    
  
  
session_start();    
  
  echo isset($_SESSION['nologin']) ? $_SESSION['nologin'] : 0;    
  
  setcookie('PHPSESSID', '', time() - 10);    
  
  session_destroy();    
  
  ?>

如上，獲取完后將session清除一下，以免影響下一次的判斷。

獲得值如果為1的話，說明沒有登錄，如果為0說明已登錄，就可以顯示出來或做任何其他操作了。

來個演示：http://mhz.pw/game/detect/alipay/

登錄支付寶以后訪問，顯示“已登錄”

換個瀏覽器，直接訪問則顯示“未登錄”：

#p#

0x04 由http/https混用造成的問題(百度為例)

同樣的問題，不僅僅是支付寶存在，只要有“統(tǒng)一登錄入口”的網(wǎng)站都可能出現(xiàn)這個問題，因為統(tǒng)一登錄入口通常是一個單獨的域名。

還有一種情況，是http和https混用造成的。有些網(wǎng)站的登錄頁面是https加密傳輸?shù)?，但登陸以后實際的操作頁面是走http。

這之間一樣存在一個跳轉(zhuǎn)的問題，當我們訪問一個登陸后才能看到的頁面如http://xxx.com/index，未登錄的用戶就會跳轉(zhuǎn)到登錄頁面，如https://xxx.com/login。

在CSP里http和https是完全不同的兩個來源，所以也能觸發(fā)CSP規(guī)則。

比如https://passport.baidu.com，這是百度的安全中心。當已登錄用戶訪問的時候會跳轉(zhuǎn)到“安全中心”首頁http://passport.baidu.com/center(注意，此處是http)：

而未登錄用戶訪問則會跳轉(zhuǎn)到https://passport.baidu.com/v2/?login(這時候是https)：

雖然兩個域名都是passport.baidu.com，但因為protocol不同，混用的http和https就能夠影響CSP的攔截情況。

我們將CSP設(shè)置為img-src https://passport.baidu.com ，那么img的src就只接受來源為https://passport.baidu.com的img，那么已登錄用戶訪問的http://passport.baidu.com/center就會被阻止，產(chǎn)生一個CSP報告。記錄下這個報告，一樣能判斷訪客是否已登錄百度。

測試你是否登錄百度：http://mhz.pw/game/detect/baidu/

0x05 影響及防范方法

嚴格來論，只是判斷用戶是否登錄，這個問題并不算一個漏洞。當時@/fd將問題提交到推特之后推特的回應(yīng)也是不算漏洞，但確實如果與其他一些漏洞結(jié)合使用，會讓某些漏洞的成功率提高一大截。所以我們可以將之歸為一個“奇技淫巧”。

這個問題更容易出現(xiàn)在一些大型網(wǎng)站、企業(yè)網(wǎng)絡(luò)之中，往往這些網(wǎng)站的統(tǒng)一性和重用性都做的很好，所以往往登錄入口只有一個(現(xiàn)在流行一個user center的概念)，所以難免會出現(xiàn)一些跳轉(zhuǎn)的問題。有這些跳轉(zhuǎn)，就是探測用戶登錄的基礎(chǔ)。

這個方法還有一個限制，就是用戶使用的瀏覽器需要是現(xiàn)代瀏覽器，需要支持CSP安全策略。如果你要探測的用戶還在用IE6~IE10，那么是肯定不行的。如何解決這個問題?如果你真的覺得這是個安全問題的話，那么盡量避免跳轉(zhuǎn)，或者使用javascript進行頁面的跳轉(zhuǎn)。

網(wǎng)站名稱：利用內(nèi)容安全策略探測網(wǎng)站登陸狀態(tài)
標題鏈接：http://fisionsoft.com.cn/article/dhgjdhc.html

新聞中心

其他資訊