PostMessage系統(tǒng)漏洞及應(yīng)對(duì)方案

1、PostMessage系統(tǒng)漏洞及應(yīng)對(duì)方案技術(shù)創(chuàng)新，變革未來北京實(shí)時(shí)路況膚淺浮躁的烏云員工眼中的我穩(wěn)重睿智的技術(shù)大牛眼中的我他看穿了我為了保護(hù)女網(wǎng)友 今天只講技術(shù) 今天沒有段子一些瀏覽器跨域傳輸方案postMessageJsonp Corsdocument.domain+iframe location.hash跨文檔通信(Cross-document messaging)提供了網(wǎng)頁上不同文檔之間的通訊能力。以往需要在相同協(xié)議、域名、端口下的頁面才能用腳本語言通訊，現(xiàn)在的window.postMessage方法則提供了一種安全可靠的方式來控制文檔間的通信。語法otherWindow.postMes

2、sage(message, targetOrigin, transfer);其中有四個(gè)參數(shù)：otherWindow，發(fā)送目標(biāo)的window對(duì)象引用，例如同一頁面間的兩個(gè)iframe交互，other window就可能是 window.parent.frames1；message，要發(fā)送的數(shù)據(jù)；targetOrigin，發(fā)送數(shù)據(jù)的來源，一般是域名，如；transfer，用于通道通訊（Channel Messaging），用于定義端口信息。cross-document-messagingpostMessage的幾個(gè)場景Window.open返回的窗口對(duì)象 Window.openera標(biāo)簽打開的窗口

3、form post打開的目標(biāo)窗口iframe的contentWindow Window.frames0Window.parentotherWindow.postMessagemessage從當(dāng)前頁發(fā)向了otherWindowpostMessagepostMessage普 通 網(wǎng) 友 的 示 例高 級(jí) 網(wǎng) 友 的 示 例postMessage的一些漏洞案例postMessage時(shí)的漏洞onmessage時(shí)的漏洞校驗(yàn)不嚴(yán)謹(jǐn)被繞過收到的信息未做安全處理xss攻擊 賬號(hào)被盜敏感信息泄露獲取用戶地址位置https劫持跨站請(qǐng)求觸發(fā) 等等QQ上你點(diǎn)啊點(diǎn)/H5拿你的授權(quán)/微博oauth有點(diǎn)弱/提權(quán)進(jìn)了你微博微

4、博開放平臺(tái)的JSSDK使用的一個(gè)接口/oauth2/authorize?client_id=3063806388 &transport=html5&scope=&response_type=token&display=js&referer=點(diǎn)我的鏈接我就進(jìn)你的微博bugs/wooyun-2016- 0207504postMessage漏洞可以獲得用戶授權(quán)應(yīng)用的accesstoken找到一個(gè)合作方接口，高權(quán)限應(yīng)用可以換取用戶的gsid 用戶登陸客戶端會(huì)自動(dòng)授權(quán)安卓客戶端和ios客戶端在iframe中open目標(biāo)頁，無popup blocker，兼容手機(jī)客戶端某處功能泄露安卓和ios客戶端兩款應(yīng)用

5、的真實(shí)appkey 在cookie中設(shè)置gsid可以登陸用戶的m版微博qq中鏈接支持app偽協(xié)議，微博內(nèi)置瀏覽器的協(xié)議參數(shù)可自定義打開的url北京實(shí)時(shí)路況手機(jī)qq上你點(diǎn)我的鏈接我就可能獲得你的地理位置1中國 1廣東省 I廣州市1天河區(qū)冼村廣東省博物館東南中和廣場旁I117. 136. 41. 34 IMozi11a/5. 0 (Linux; Androi ct 5. 1. 1 ; S 職 01 Build/LMY47V) Appl e 附 eb TBS/036215 Safari/537. 36 Vl _沁們_SQ_6. 3.3_358_YYB_D QQ/6.3.3. 2755 Net Typ

6、e / 4G 附忒1中國 1北京市1北京市1朝陽區(qū)北京奧林匹克公園內(nèi)1114. 242. 249. 213闈ozi l l a / 5. 0 (Linux; Android 6. O; MI 5 Bui l d懂邸58K; 泗) Appl eVl _ 戰(zhàn) D_SQ_6. 3.3_358_YYB_D QQ/ 6. 3. 3.2755 Net Type / 4G 附 ebP/0. 4. 1 Pixel/1080 IMay 1 S1 中國 1 江蘇省I 泰州和 高港區(qū)永安洲鎮(zhèn)娶寶奸I106. 111. 12. 49 IMozi11a/5. 0 (Linux; Anctroi d 4. 4. 4; C

7、he1-CL10 Bui1 d/Che1-CL10) Ar TBS/036215 Safari/537. 36 Vl _沁們_SQ_6. 2.0_320_YYB_D QQ/6.2.0. 2655 Net Type /附I FI1 中匡 I 河南合I 郟州市南 陽市鄭上路京城躊（路口北）1115. 60. 66. 29 1:Mozi l l a / 5. 0 (i Phone ; CPU iPhone OS 9_3_1 like Mac OS X) Appl e 附 eb Pixel/1080 Core/UIWebView Net Type岡IFI 悵叫71 IMay 19,2016,1: 09

8、 pm1中國 1北京市1北京市1朝陽區(qū)太陽宮南街（凱德MALL太陽宮店東南）160. 206.230. 56IMozilla/5.0 (i Phone; CPU i Phone OS 9_3_1 l i ke Mac OS X) Appl e 附 或 Pixel/750 Cor e/ DI附ebVi ew Net Type /附I FI 脛叫117 IMay 19,2016,1: 13 pm1中國 1廣酉壯族自治區(qū) 1桂林市1雁山區(qū)桂林理工大學(xué)雁山校區(qū)酉南600米1117. 136. 97. 33IMozilla/5.0 (i Phone 6; CPU iPhone OS 9_3_1 like

9、 Mac OS X) Apple Sa f ar i / 8536. 25 陽 t Cus t omUA/ 2 I May 1920162: 19 pm1中國 1廣西壯族自治區(qū) 1桂林市1雁山區(qū)桂林理工大學(xué)雁山校區(qū)西南600米1117. 136. 97. 33IMozilla/5.0 (i Phone 6; CPU i Phone OS 9_3_1 like Mac OS X) Apple Sa f ar i / 8536. 25 Mt t Cus t omUA/ 2 I May 19,2016,2: 20 pm1 中國國 南省I 鄭州市1 金水區(qū)文化躋（新誦橋附近）IL 194. 21. 1

10、89 I Mozi 11a/5. 0 (Li nux ; Android 5. 1. 1; YQ601 Bui 1d/LMY47V) Appl e 附 ebKi TBS/036222 Safari/537. 36 Vl _沁們_SQ_6. 3.3_358_YYB_D QQ/6.3.3. 2755 Net Type /附I FI烏云WoounI 壘鳥云臺(tái)帽大會(huì) 2.0 1. 6不插電騰訊地圖的地理位置組件地理位置組件 /tools/geolocation?key=OB4BZ- D4W3U-B7VVO-4PJWW-6TKDJ-WPB77&referer=myapp地圖組件在騰訊大多app的內(nèi)置瀏覽

11、器中有較高權(quán)限poc官方第一次修復(fù)的結(jié)果是，非*.的頁面使用此組件會(huì)彈出 提示框讓用戶授權(quán)利用url跳轉(zhuǎn)漏洞就可以繞過iframebduss.src =http:/xxxxxxxxxx?url=http%3A%2F%XXX XXXXXXXXXXXXXXXindex.php%3Fcontroller%3Dclick%26 action%3Dclick%26recorddate%3D1%26mark%3D2014zms_pc_1%26url%3Dhttp%253A%252F%252F%25 2Fm%252Fcomponents%252Fgeolocation%253Fkey%253D VFUBZ-

12、JIR3D-Z2M4H-PPAGG-G5KVQ-S3F2S%252526referer%253DlocationPicker;一次不徹底的修復(fù)TSRC對(duì)url跳轉(zhuǎn)漏洞的說明我理解的url跳轉(zhuǎn)漏洞：1、利用了被跳url的信任關(guān)系2、可能會(huì)從被跳url獲取敏感信息某網(wǎng)站“名副其實(shí)”的xss某網(wǎng)站的代碼如下大洞朝天，法力無邊xss=非本站腳本執(zhí)行 postMessage+js=Cross-site scripting允許從http向https發(fā)message劫持https登錄頁？/ qq郵箱登錄頁的一段js哇塞，跟前面那個(gè)xss很像 我可以劫持https的登陸頁了 最后卻發(fā)現(xiàn)，褲子都脫了卻什么都干不

13、了永遠(yuǎn)都運(yùn)行不到的“漏洞”https頁面加載http的js時(shí)瀏覽器會(huì)阻止我爸媽花那么多錢給我買證書，不是讓我跟你們屌絲玩的校驗(yàn)了event.origin？/script/javascript/postmsg.html任意域的xss都可以向域發(fā)起ajax請(qǐng)求任意域的xss都可以強(qiáng) 制對(duì)方發(fā)微博、關(guān)注任意域的xss都可以進(jìn) 入對(duì)方的微博賬號(hào)不細(xì)講一些小技巧空referer或Js型的url跳轉(zhuǎn)漏洞可能繞過白名單referer限制window.open到iframe里的時(shí)候，瀏覽器popup blocker不會(huì)提 示Origin校驗(yàn)可能會(huì)不嚴(yán)謹(jǐn)：indexOf(“”)!=-1 RegExp(“$”)postMessage的安全注意事項(xiàng)遇到對(duì)的那個(gè)人，才把東西給他 給你東西的，是不是對(duì)的人擦亮眼睛，不要認(rèn)錯(cuò)人不要相信任何人給的東西，使用的時(shí)候 要注意安全你是驕傲的公主，不要低頭，皇冠會(huì)