原文是英文的,将大致Xss流程转过来了。
传统情况下
缺陷URL是:http://touch.facebook.com/#profile.php
打开这个页面后,
会执行下面的操作 (这里是基于JQ的伪代码)
$.get(#后面的地址,function(返回内容){
$("#somediv").innerHTML=返回内容
});
在以前,这里不会带来安全问题, 因为浏览器是不允许跨域请求的。
HTML5中
在HTML5中,支持 CORS(Cross-Origin Resource Sharing),跨域资源共享?可能是这么翻译的吧。。
也就是说,在HTML5中,我们可以向不同域的网站发送请求。
例如这个例子里,我们可以
http://touch.facebook.com/#http://example.com/xss.php
那么打开上面这个地址,
页面会通过ajax向 http://example.com/xss.php 发送跨域请求。
这个时候浏览器会检查 http://example.com/xss.php 所返回的 请求头。
看头中的 Access-Control-Allow-Origin 头是否允许来自 touch.facebook.com的请求。
为了允许来自touch.facebook.com的请求,
xss.php的代码如下,用header对response 的头进行设置。
这样一来, touch.facebook.com 会通过ajax跨域获取到 example.com/xss.php的内容,并通过innerHTML输出到页面,从而导致Xss的发生。
-----
为了使攻击变得更加隐蔽,可以在其它网站 iframe 这个页面
为了让touch.facebook.com这个页面能直接对facebook.com操作,可在JS里加入
document.domain = 'facebook.com'
浏览器对CORS的支持情况
CORS在IE8 以及 当前其它主流的浏览器中被支持。(Firefox 3.5, Safari 4, and Google Chrome.
其中IE8 ,普通的AJAX请求是 XMLHttpRequest, 跨域请求则专门有一个对象 XDomainRequest
浏览器兼容的CORS代码
国外网站转过来的,主要点是通过withCredentials和XDomainRequest来判断是否支持CORS
function createCORSRequest(method, url) {
var xhr = new XMLHttpRequest();
if ("withCredentials" in xhr) {
// Check if the XMLHttpRequest object has a "withCredentials" property.
// "withCredentials" only exists on XMLHTTPRequest2 objects.
xhr.open(method, url, true);
} else if (typeof XDomainRequest != "undefined") {
// Otherwise, check if XDomainRequest.
// XDomainRequest only exists in IE, and is IE's way of making CORS requests.
xhr = new XDomainRequest();
xhr.open(method, url);
} else {
// Otherwise, CORS is not supported by the browser.
xhr = null;
}
return xhr;
}
var xhr = createCORSRequest('GET', url);
if (!xhr) {
throw new Error('CORS not supported');
}
原文地址:http://m-austin.com/blog/?p=19
参考:http://www.html5rocks.com/en/tutorials/cors/
转自:http://zone.wooyun.org/content/499
相关评论:
gainover (">_
网上讲HTML5安全基本都会提到这个CORS,但是实际的例子还不算多,觉得这个例子是一个比较典型的,就转过来了,顺便凑了点找到的资料,揉杂在一起的。
xsser (十根阳具有长短,世上人多心不齐) | 2012-07-05 21:51
不错 domxss+html5 security 啊
_Evil (性趣是最好的老师.) | 2012-07-05 22:05
后面的xxx.php可以控制js写domain? 这样我就学到了http://xx.com#aa.com 能控制xx的域 thx
Sogili (-_-)Web疯狂科学家//mmme.me(-_-) | 2012-07-06 04:18
真心觉得跟html5关系不大
gainover (">_
@Sogili = = 那与什么有关系呢?
Sogili (-_-)Web疯狂科学家//mmme.me(-_-) | 2012-07-06 08:29
@gainover CORS跟html5本来就没关系,HTML5这词都快被搞烂了:(
gainover (">_
@Sogili HTML5这个词的含义确实被延伸了。 不过也不能说cors和html5没关系, html4标准里没有cors这个概念,html5里有了, 应该还能算是有关系的~~
gainover (">_
@Sogili 刚查了下w3,这种cors的请求,应该也算是html5标准的一部分。
http://www.w3.org/TR/html5/urls.html#cors-enabled-fetch
rayh4c (请不要叫我茄子。) | 2012-07-06 17:59
很赞~Cross-Origin Resource Sharing控制返回内容
文章来源于lcx.cc:HTML5 跨域请求特性导致的 Fackbook Xss
这是没开3389?没事,还有8098的续。 那个8098的远程管理虽然很强大,但是很明显,(不知道微软的asp程序员写的有漏洞没) 继续研究如下,可以利用默认网站的端口。 步骤如下 1 同样是运行APPWIZ.CPL,添加/删除windows组件 下载 (76…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论