现代浏览器新安全研究

现代浏览器新安全研究第一页，共44页。内容URL地址栏欺骗攻击URL状态栏欺骗攻击页面标签欺骗攻击页面解析欺骗攻击扩展插件攻击本地存储攻击绕过安全策略隐私安全特性差异第二页，共44页。浏览器市场占有率第三页，共44页。一URL地址栏欺骗第四页，共44页。去哪，两个步骤鼠标移动到URL上--状态栏显示URL鼠标点击/拖放URL—加载地址栏及页面第五页，共44页。URL地址栏欺骗点击URL欺骗浏览器通性Onclick()，Onmouseup()，Onmousedown()浏览器差异HTML5pushState()，20%，long20%，空格，？浏览器自身特性……拖放URL欺骗Chrome，Firefox，IE，Safariondragstartevent.dataTransfer.setData('urltype','url')DEMO第六页，共44页。二URL状态栏欺骗第七页，共44页。新老状态栏对比老的Chrome,FF,IE新的Chrome,FF,IE第八页，共44页。URL状态栏欺骗CSS样式处理状态栏欺骗Chrome,IE,Firefox改变状态栏处理方式链接无焦点，不出现地址栏，否则相反。地址栏区域越界到页面区域CSS3增加阴影，圆角属性box-shadowborder-radius未来……伪造浏览器模块攻击当浏览器模块区域越界，就有被脚本伪造的可能DEMO第九页，共44页。CSS状态栏欺骗漏洞编号第十页，共44页。三页面标签欺骗攻击第十一页，共44页。页面标签第十二页，共44页。标签欺骗攻击原理Tabnabbing工作原理用户正常浏览器网站检测页面长时间失去焦点篡改标签图标，标题，页面内容用户再次查看众多打开的标签，假标签产生视觉欺骗。用户打开伪造页面，登录……跳转真正页面。受影响：Chrome,Firefox第十三页，共44页。标签欺骗攻击第十四页，共44页。四页面欺骗第十五页，共44页。页面欺骗漏洞处理多个函数竞争阻塞发生逻辑错误导航函数和对话框函数阻塞Window.open(),window.locationAlert(),prompt()导航函数和写页面函数阻塞Window.open(),window.locationDocument.write()危害：实现域欺骗。实施钓鱼攻击。第十六页，共44页。国内浏览器国内浏览器普遍存在这个问题QQ浏览器页面欺骗漏洞CNVD-2012-09737CNNVD-201202-901搜狗浏览器页面欺骗漏洞CNVD-2012-09736CNNVD-201202-900…………第十七页，共44页。QQ浏览器页面欺骗第十八页，共44页。搜狗浏览器页面欺骗第十九页，共44页。五扩展插件攻击第二十页，共44页。插件统计国外浏览器插件2011年统计大多数用户没有意识自己安装了哪些插件多数企业中没有部署，以获取最新插件补丁安全风险80%来自插件，20%来自浏览器自身。第二十一页，共44页。插件攻击恶意插件攻击插件本身就是恶意程序获取历史记录，账户密码，病毒传播……正常插件攻击插件自身存在漏洞AdobeAcrobatReaderPlugin<=7.0.xhttp://[host]/[].pdf#[some

text]=javascript:[code]插件无漏洞，但加载有漏洞的程序如：Flashback，60WMac僵尸，利用java插件加载恶意java程序，利用java的一个漏洞，获取系统权限第二十二页，共44页。如何防御用户方面不安装并卸载未知插件about:plugins检查更新插件/浏览器方面提示用户安装的插件有哪些权限防止插件过粗粒度导致安全隐患制定更加严格的插件审核机制防止恶意插件获取用户隐私第二十三页，共44页。插件未来HTML5时代移动平台IOS,WindowsPhone不支持flashAdobe放弃移动平台上Flash开发，转向HTML5插件大战各种扩展，各自为战，统一插件平台何时到来？全面输出到HTML5化只是时间问题第二十四页，共44页。六本地存储攻击第二十五页，共44页。localStorage()浏览器大小格式加密存储路径Firefox3.0+5MSQLite明文C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\tyraqe3f.default\webappsstore.sqliteChrome4.0+5MSQLite明文C:\Users\user\AppData\Local\Google\Chrome\UserData\Default\LocalStorage\IE8.0+5MXML明文C:\Users\user\AppData\Local\Microsoft\InternetExplorer\DOMStore\Safari4.0+5MSQLite明文C:\Users\user\AppData\Local\AppleComputer\Safari\LocalStorageOpera10.5+5MXMLBASE64C:\Users\user\AppData\Roaming\Opera\Opera\pstorage\第二十六页，共44页。HTML5本地存储的安全性不可替代Cookie不要存储敏感信息严格过滤输入输出容易遭到跨目录攻击容易遭到DNS欺骗攻击恶意代码栖息的温床第二十七页，共44页。七绕过安全策略第二十八页，共44页。绕过XSS防御绕过XSS防御XSSfilterIE8+，Chrome4+，Safari5+，FF(noscript)各种代码变型双参数：p1=<script>prompt(1);/*&p2=*/</script>注释：<script>/*///*/alert(1);</script>自动闭合：<imgsrc="noexist"onerror=alert();//UTF-7：+ADw-script+AD4dataURIs：data:[mediatype][;base64],data更多：/xss.html，第二十九页，共44页。

绕过SOP

绕过SOPFlash&Silverlight-crossdomain.xmlHTML5–Postmessage，CORSCSRFwithCORSbypassSOPWebworkers+CORS+Websocket=WebBotnetDragAndDropJacking获取数据绕过CSRF防御浏览器自身特性缺陷导致绕过扩展插件第三十页，共44页。绕过HttpOnlyApachehttpOnlyCookieDisclosureCVE:

2012-0053ApacheCookie>4K页面返回400错误，其中包含Cookie攻击通过XSS漏洞设置>4KCookie从返回页面中筛选出Cookie发送Cookie到攻击者服务器成功绕过HttpOnly第三十一页，共44页。绕过X-Frame-Options界面伪装方法：([Click][Drag&Drop][Tap])jacking过程：点/拖/摸的对象是隐藏在其下方的对象技术：隐藏层+Frame包含绕过X-Frame-Options构造多个页面history.forward()，history.back()实例：此攻击方式设计复杂，且需高交互第三十二页，共44页。绕过SandboxPwn2Own2012奖金最高6W美金成功绕过Chrome沙箱花费了6个不同类型bug绕过沙箱所有保护，将越来越难更多：第三十三页，共44页。八隐私安全第三十四页，共44页。隐私策略隐身模式Chrome,Firefox,Opera,IE,Safari本地Cookie，搜索记录，临时文件…不被记录书签被记录，网站服务器会记录收集的信息地理位置崩溃报告同步功能在线翻译语音输入自动更新各种插件扩展…………第三十五页，共44页。官方隐私声明Chrome：Safari:Firefox：Opera：/IE：/zh-CN/internet-explorer/products/ie-9/windows-internet-explorer-9-privacy-statement第三十六页，共44页。九浏览器特性差异第三十七页，共44页。浏览器特性差异HTML5支持URL编码……差异安全特性支持官方安全链接JUSTFORFUN第三十八页，共44页。H