在一次與朋友的聊天中,朋友問我對(duì)瀏覽器安全是否有了解。我的第一反應(yīng)就是沒有了解過~做了這么多年安全,好像從來(lái)沒有去思考過瀏覽器在安全方面的問題。
朋友再次提醒,你做過的web網(wǎng)站滲透,不都是通過瀏覽器去訪問的么,它的URL、它的協(xié)議、它的同源策略、它的DNS請(qǐng)求、從用戶發(fā)起請(qǐng)求的第一步到瀏覽器web頁(yè)面的展示……恍然大悟~
安全的范圍很廣,為了完成工作要求我們總是在零零散散的學(xué)習(xí),很多時(shí)候我們并沒有一個(gè)系統(tǒng)性的思維,甚至我們每天都在接觸的東西突然有一天被人問到時(shí)都不知道自己原來(lái)和它如此熟悉。直到有人提醒,我們才恍然大悟的說(shuō)道:哦哦,這樣啊,我知道的~~
這就是為什么我無(wú)論學(xué)什么都習(xí)慣性的總結(jié)成文章,侯亮大神說(shuō):知識(shí)的最高的境界是分享,而在我看來(lái),我們?cè)诜窒淼耐瑫r(shí)也是對(duì)自我認(rèn)知的一個(gè)提升。
有幸在安全脈搏得于此書《白帽子講瀏覽器安全》,此書根據(jù)作者若干年實(shí)戰(zhàn)與工作積累的豐富經(jīng)驗(yàn)編寫而成,深入地分析了瀏覽器從導(dǎo)航到頁(yè)面展示的整個(gè)過程中可能會(huì)出現(xiàn)的安全問題,也對(duì)瀏覽器的部分實(shí)現(xiàn)細(xì)節(jié)有著詳細(xì)和深入的介紹,對(duì)安全工作者有一定的參考意義。下面是本人所學(xué)所得總結(jié)如下。
隨著WEB2.0的時(shí)代來(lái)臨,互聯(lián)網(wǎng)從C/S架構(gòu)(客服端/服務(wù)端結(jié)構(gòu))轉(zhuǎn)變?yōu)锽/S架構(gòu)(瀏覽器/服務(wù)器結(jié)構(gòu)),后者相比于前者更加方便快捷,因此瀏覽器便成為了我們?cè)L問網(wǎng)站的窗口,瀏覽器安全也隨之變得越來(lái)越重要。
作為用戶與網(wǎng)絡(luò)交互的最主要的一種平臺(tái),瀏覽器也日漸成為了網(wǎng)絡(luò)攻擊的目標(biāo),猖獗的地下0day交易,以及簡(jiǎn)單、流程化的木馬生成與發(fā)布程序都讓瀏覽器安全問題影響變得廣泛。
為了應(yīng)對(duì)攻擊,瀏覽器也增添了許多安全特性。(1)各瀏覽器都紛紛開啟了數(shù)據(jù)執(zhí)行保護(hù)(DEP)和(2)地址空間分布隨機(jī)化(ASLR)。同時(shí),為了降低惡意代碼運(yùn)行時(shí)的權(quán)限,瀏覽器也在試圖(3)降低瀏覽器網(wǎng)頁(yè)進(jìn)程的權(quán)限,例如(3.1)IE的保護(hù)模式和Chrome的沙箱。
為了防止用戶受到腳本注入的困擾,(4)IE和Chrome也各自添加了XSS過濾器。為了防止用戶受到釣魚網(wǎng)站或者惡意網(wǎng)站的干擾,(5)瀏覽器也添加了形如SmartScreen Filter、惡意網(wǎng)站攔截的功能。同時(shí),瀏覽器也在兼容新的安全特性,(6)例如DNT(不要追蹤、Do Not Track)和(7)防止點(diǎn)擊劫持的HTTP頭、(8)CSP安全策略等。可以看的出來(lái),瀏覽器在提升安全性上十分努力。
下面詳述瀏覽器中常見的安全概念
1 URL
網(wǎng)址大家都不陌生,全稱是“統(tǒng)一資源定位符”。URL瀏覽器是開始導(dǎo)航過程的第一步,URL安全也是瀏覽器安全的第一步。
在URL的解析庫(kù)、編碼、字符排版、UI顯示、內(nèi)容劫持等方面均出現(xiàn)過安全問題。
曾經(jīng)的霸主IE6,在早期微軟的想法比較超前,它推崇的正式當(dāng)今互聯(lián)網(wǎng)中熱門的Web App概念,即基于網(wǎng)頁(yè)的應(yīng)用程序。為了能達(dá)到和原生程序類似的效果,早期IE6支持網(wǎng)頁(yè)腳本創(chuàng)建一個(gè)沒有任何邊框的新窗口。這個(gè)想法如果放在EXE程序中是沒有任何問題的,因?yàn)閷?duì)EXE來(lái)說(shuō),一個(gè)程序就是一個(gè)獨(dú)立的個(gè)體,不依賴于其他框架。
但是在網(wǎng)頁(yè)中,這顯然引發(fā)了一些混亂。惡意網(wǎng)頁(yè)可以自己繪制出一個(gè)假的IE界面,當(dāng)然也包含網(wǎng)頁(yè)的“名片”—地址欄。由于大量的彈窗廣告和釣魚網(wǎng)站繪制假的界面謊稱自己是合法網(wǎng)站,不堪其擾的微軟決定從XP SP2開始強(qiáng)制IE顯示邊框。對(duì)IE來(lái)說(shuō)這是一個(gè)正確的決定,因?yàn)闉g覽器是一個(gè)展現(xiàn)信息的工具,因此用戶看到的內(nèi)容也可能是一個(gè)攻擊點(diǎn)。
在邊框問題之后,又有安全研究員報(bào)告了另一種問題—IE的地址欄中超長(zhǎng)字符以及擴(kuò)展字符處理的邏輯有問題,瀏覽器可能顯示不出特定字符。這樣,攻擊者可以注冊(cè)一個(gè)含特殊字符的域名,并利用瀏覽器顯示文字的漏洞將其偽裝成正常域名。或是使用大量空格,將一級(jí)域名頂出地址欄的顯示范圍外,讓人誤以為自己訪問的是合法網(wǎng)站
http://www.xxx.com.evil.com http://www.xxx.com .evil.com [許多空格] http://www.xxx.com. ….evil.com
地址欄中http://www.xxx.com.evil.com許多空格的錯(cuò)誤和正確的顯示方式
這些攻擊案例零零散散有過報(bào)告,直到瀏覽器市場(chǎng)百花齊放時(shí),更多與URL相關(guān)的漏洞才暴露出來(lái),這里面有很多是通用型漏洞,例如地址欄、解析邏輯的處理中可能導(dǎo)致的緩沖區(qū)溢出、程序崩潰、執(zhí)行惡意程序等,這些都威脅著瀏覽器的信息安全。
