无图美人的财富牧场: 【技术分享】XSSI：一个不出名但是影响广泛的Web漏洞

本邮件内容由第三方提供，如果您不想继续收到该邮件，可点此退订。

【技术分享】XSSI：一个不出名但是影响广泛的Web漏洞 阅读原文»

预估稿费：200RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

找到一个特定类别漏洞两个关键组成部分：对漏洞的认识和找到漏洞的难易。跨站脚本包含(XSSI)漏洞在事实上的公共标准即：OWASP TOP 10中并未被提及。另外并没有公开的利用的工具来促进找到XSSI。它的影响范围从泄露个人存储信息，基于TOKEN的协议的规避到完成帐户的妥协(猜测意思是应该绕过登录)。 XSSI漏洞相当广泛, 由于检测手段的缺失增大了每一个XSSI漏洞的风险。在这篇文章中我将演示如果找到XSSI，利用XSSI和如何防护XSSI漏洞。

背景知识

这一部分是来讲清楚源和同源策略(SOP)的。如果了解这一部分的可以跳过。

源的概念和基于源的Web内容隔离安全机制（即同源策略）由Netscape在引入JAVASCRIPT的时候一同引入。SOP定义了文档是如何相互影响的。当两个文档属于同一个源时，它们可以相互访问。这实际上是WEB安全的基础。源被大多数浏览器定义为端口，域名和协议。而微软的IE浏览器是一个例外，它不包括端口。它有自己的安全意义。下边的表是由(Mozilla Developer Network)用URL：http://store.company.com/dir/page.html描述了用于SOP的最通用的规则。

由于多家浏览器厂商在文档间的相互作用没有一个共同的标准，所以内容隔离是一件非常必要的事情。对于更多信息：安全研究员Michal Zalewski在他的书Tangled Web中有一章的内容都是在写这个问题。

XSSI

Cross-Site Scrite Inclusion(XSSI),一个有些无形但是描述性的名字，指定了一类漏洞：当资源用script标签来包含时，SOP就失效了，因为脚本必须能够包含跨域。因此一个攻击者可以读取用script标签包含的所有内容。

当谈到动态的JavaScript和jsonp，所谓的权限信息（如cookie）用于身份验证时会显得特别有趣。Cookies 与 CSRF一样，从不同的主机来请求时会被包含。这个漏洞在上述的Michal Zalewski的书中的脚注与Sebastian Lekies等人的paper的脚注中被提到。

根据script中数据的内容不同，XSSI可以有不同的利用方式。在广泛传播的敏感数据是个人信息如e-mail，邮件地址，生日等。但是也可以发现tokes, session id,与其它的ID如UID。最简单的利用方式是检查一个用户是否已经登录(登录 oracle)。获得的信息可以在社会工程或者其它的特定方式的攻击中被滥用。

与XSS与CSRF的界限

XSSI在命名上与XSS相近，在描述上与CSRF相近。它仨之间的共同点即同为客户端攻击。

与XSS的不同是很容易理解的：在一个XSS的中，恶意代码被放置在受害者的页面，而XSSI中受害者的代码被包含在一个恶意页面中。而表面上看XSSI与CSRF是很相似的，因为它们都是一个由恶意页面的请求至另一个域，而且这两种情况下，请求都是在用户已经登录的情况下执行的。而最关键的不同点在于目的。在CSRF中，攻击都想要受害者的页面中执行一个状态改变的动作，比如在一个在线银行应用中进行转帐。在XSSI中攻击者想要跨域泄露数据，以便然后再执行上述的攻击。

搜索，找到和利用

当搜索XSSI时，需要区分四种情况。但是幸运的是利用方式是相似甚至是相同的(就像反射与存储的XSS)。我们可以将四种情况区分如下：

1. 静态的JavaScript(正常XSSI)

2. 静态的JavaScript，但是仅在认证后可访?div style="border-bottom:1px solid #aaa;margin-bottom:25px">【资讯】1月16日 - 每日安全资讯播报 阅读原文»