在一次與朋友的聊天中,朋友問我對瀏覽器安全是否有了解。我的第一反應就是沒有了解過~做了這么多年安全,好像從來沒有去思考過瀏覽器在安全方面的問題。
朋友再次提醒,你做過的web網站滲透,不都是通過瀏覽器去訪問的么,它的URL、它的協議、它的同源策略、它的DNS請求、從用戶發起請求的第一步到瀏覽器web頁面的展示……恍然大悟~
安全的范圍很廣,為了完成工作要求我們總是在零零散散的學習,很多時候我們并沒有一個系統性的思維,甚至我們每天都在接觸的東西突然有一天被人問到時都不知道自己原來和它如此熟悉。直到有人提醒,我們才恍然大悟的說道:哦哦,這樣啊,我知道的~~
這就是為什么我無論學什么都習慣性的總結成文章,侯亮大神說:知識的最高的境界是分享,而在我看來,我們在分享的同時也是對自我認知的一個提升。
有幸在安全脈搏得于此書《白帽子講瀏覽器安全》,此書根據作者若干年實戰與工作積累的豐富經驗編寫而成,深入地分析了瀏覽器從導航到頁面展示的整個過程中可能會出現的安全問題,也對瀏覽器的部分實現細節有著詳細和深入的介紹,對安全工作者有一定的參考意義。下面是本人所學所得總結如下。
隨著WEB2.0的時代來臨,互聯網從C/S架構(客服端/服務端結構)轉變為B/S架構(瀏覽器/服務器結構),后者相比于前者更加方便快捷,因此瀏覽器便成為了我們訪問網站的窗口,瀏覽器安全也隨之變得越來越重要。
作為用戶與網絡交互的最主要的一種平臺,瀏覽器也日漸成為了網絡攻擊的目標,猖獗的地下0day交易,以及簡單、流程化的木馬生成與發布程序都讓瀏覽器安全問題影響變得廣泛。
為了應對攻擊,瀏覽器也增添了許多安全特性。(1)各瀏覽器都紛紛開啟了數據執行保護(DEP)和(2)地址空間分布隨機化(ASLR)。同時,為了降低惡意代碼運行時的權限,瀏覽器也在試圖(3)降低瀏覽器網頁進程的權限,例如(3.1)IE的保護模式和Chrome的沙箱。
為了防止用戶受到腳本注入的困擾,(4)IE和Chrome也各自添加了XSS過濾器。為了防止用戶受到釣魚網站或者惡意網站的干擾,(5)瀏覽器也添加了形如SmartScreen Filter、惡意網站攔截的功能。同時,瀏覽器也在兼容新的安全特性,(6)例如DNT(不要追蹤、Do Not Track)和(7)防止點擊劫持的HTTP頭、(8)CSP安全策略等。可以看的出來,瀏覽器在提升安全性上十分努力。
下面詳述瀏覽器中常見的安全概念
1 URL
網址大家都不陌生,全稱是“統一資源定位符”。URL瀏覽器是開始導航過程的第一步,URL安全也是瀏覽器安全的第一步。
在URL的解析庫、編碼、字符排版、UI顯示、內容劫持等方面均出現過安全問題。
曾經的霸主IE6,在早期微軟的想法比較超前,它推崇的正式當今互聯網中熱門的Web App概念,即基于網頁的應用程序。為了能達到和原生程序類似的效果,早期IE6支持網頁腳本創建一個沒有任何邊框的新窗口。這個想法如果放在EXE程序中是沒有任何問題的,因為對EXE來說,一個程序就是一個獨立的個體,不依賴于其他框架。
但是在網頁中,這顯然引發了一些混亂。惡意網頁可以自己繪制出一個假的IE界面,當然也包含網頁的“名片”—地址欄。由于大量的彈窗廣告和釣魚網站繪制假的界面謊稱自己是合法網站,不堪其擾的微軟決定從XP SP2開始強制IE顯示邊框。對IE來說這是一個正確的決定,因為瀏覽器是一個展現信息的工具,因此用戶看到的內容也可能是一個攻擊點。
在邊框問題之后,又有安全研究員報告了另一種問題—IE的地址欄中超長字符以及擴展字符處理的邏輯有問題,瀏覽器可能顯示不出特定字符。這樣,攻擊者可以注冊一個含特殊字符的域名,并利用瀏覽器顯示文字的漏洞將其偽裝成正常域名。或是使用大量空格,將一級域名頂出地址欄的顯示范圍外,讓人誤以為自己訪問的是合法網站
http://www.xxx.com.evil.com http://www.xxx.com .evil.com [許多空格] http://www.xxx.com. ….evil.com
地址欄中http://www.xxx.com.evil.com許多空格的錯誤和正確的顯示方式
這些攻擊案例零零散散有過報告,直到瀏覽器市場百花齊放時,更多與URL相關的漏洞才暴露出來,這里面有很多是通用型漏洞,例如地址欄、解析邏輯的處理中可能導致的緩沖區溢出、程序崩潰、執行惡意程序等,這些都威脅著瀏覽器的信息安全。
