提供下載功能的網站,其下載資源的鏈接是任何用戶都能獲取的,如若設計不當,攻擊者通過分析鏈接的文本,能夠構造出意外但有效的鏈接,訪問網站功能之外的資源,從而竊取主機上的敏感資訊,
以下就是這樣一個例子:網站將下載資源的檔案路徑作為引數傳入,但沒有對這個引數進行檢查,于是攻擊者可以構造多級父路徑來嘗試獲取作業系統的組態檔,使用 iFlow 業務安全加固平臺能夠加密 URL 中的關鍵部分,使得攻擊者的這種構造行為無從進行,
一、原始網站
1.1 正常用戶訪問
用戶點擊進入下載頁面,點擊選擇其中一名球星,網站彈出下載框,用戶點擊確定后圖片下載成功,
HTTP 互動程序如下:
sequenceDiagram participant 正常用戶 participant 瀏覽器 participant Web服務器 正常用戶->>瀏覽器: 點擊進入【下載頁面】 瀏覽器->>Web服務器: 請求:下載頁面 Web服務器->>瀏覽器: 回傳:下載頁面 瀏覽器->>正常用戶: 顯示:下載頁面 正常用戶->>瀏覽器: 點擊選擇球星【科比】 瀏覽器->>Web服務器: GET /vul/dl/execdownload.php?filename=kb.png Web服務器->>瀏覽器: 回傳:球星圖片 瀏覽器->>正常用戶: 得到:球星圖片1.2 攻擊者訪問
同樣地,攻擊者點擊進入下載頁面,點擊選擇其中一名球星,網站彈出下載框,攻擊者點擊確定后圖片下載成功,
以火狐瀏覽器為例,攻擊者單擊工具列中的下載按鈕,可查看下載的圖片,并復制下載鏈接,
攻擊者在新的標簽中嵌入拷貝下來的下載鏈接,將 kb.png 作如下修改—— ../../../../../../../../Windows/System32/drivers/etc/hosts 回車后即可看到敏感檔案下載框,
攻擊者點擊確定后,就取得了 Windows 系統的敏感檔案: /Windows/System32/drivers/etc/hosts
HTTP 互動程序如下:
sequenceDiagram participant 攻擊者 participant 瀏覽器 participant Web服務器 攻擊者->>瀏覽器: 點擊進入【下載頁面】 瀏覽器->>Web服務器: 請求:下載頁面 Web服務器->>瀏覽器: 回傳:下載頁面 瀏覽器->>攻擊者: 顯示:下載頁面 攻擊者->>瀏覽器: 點擊選擇球星【科比】 瀏覽器->>Web服務器: GET /vul/dl/execdownload.php?filename=kb.png Web服務器->>瀏覽器: 回傳:球星圖片 瀏覽器->>攻擊者: 得到:球星圖片 rect rgb(250, 128, 128) 攻擊者->>瀏覽器: 復制鏈接,修改引數 end 瀏覽器->>Web服務器: GET /vul/dl/execdownload.php?filename=../../../../../../../../Windows/System32/drivers/etc/hosts Web服務器->>瀏覽器: 回傳:系統敏感檔案 rect rgb(250, 128, 128) 瀏覽器->>攻擊者: 得到:系統敏感檔案 end二、iFlow虛擬補丁后的網站
我們在 Web 服務器前部署 iFlow 業務安全加固平臺,它有能力攔截、計算和修改雙向 HTTP 報文并具備存盤能力,成為 Web 應用的虛擬補丁,在本例中,iFlow 將下載頁面中的下載鏈接加密,使得攻擊者無從構造 URL,
2.1 正常用戶訪問
用戶訪問下載頁面時,Web 服務器原始頁面上的下載鏈接是明文的,iFlow 將它們全部加密后發給用戶;用戶點擊其中一項后,瀏覽器發出密文鏈接的請求,iFlow 將密文鏈接解密為明文,再向 Web 服務器端發出請求,
正常用戶的 HTTP 互動流程如下:
sequenceDiagram participant 正常用戶 participant 瀏覽器 participant iFlow participant Web服務器 正常用戶->>瀏覽器: 點擊進入【下載頁面】 瀏覽器->>Web服務器: 請求:下載頁面 Web服務器->>iFlow: 回傳:包含明文鏈接的下載頁面 rect rgb(160, 250, 160) Note over iFlow: 加密每一個下載鏈接 end iFlow->>瀏覽器: 回傳:包含密文鏈接的下載頁面 瀏覽器->>正常用戶: 顯示:下載頁面 正常用戶->>瀏覽器: 點擊選擇球星【科比】 瀏覽器->>iFlow: GET /vul/dl/WTJSdmQyNXNiMkZrTG5Cb2NEOW1hV3hsYm1GdFpUMQ== rect rgb(160, 250, 160) Note over iFlow: 解密鏈接 end iFlow->>Web服務器: GET /vul/dl/execdownload.php?filename=kb.png Web服務器->>瀏覽器: 回傳:球星圖片 瀏覽器->>正常用戶: 得到:球星圖片2.2 攻擊者訪問
攻擊者得到如下的下載鏈接:
<a href="https://www.cnblogs.com/vul/dl/WTJSdmQyNXNiMkZrTG5Cb2NEOW1hV3hsYm1GdFpUMQ==">
顯然,攻擊者無法通過分析這段文本來構造攻擊請求,
2.3 代碼
iFlow 內置的 W2 語言是一種專門用于實作 Web 應用安全加固的類編程語言,它介于配置和通用語言之間,具備編程的基本要素和針對 HTTP 協議的特有擴展,能為業務系統撰寫涉及復雜判斷和動態修改的邏輯,
考慮到安全產品的使用者通常為非程式員,他們習慣面對組態檔而非一段代碼,因此,W2 語言雖包含語言要素,仍以規則檔案方式呈現,并采用可以體現層次結構和方便詞法校驗的 JSON 格式,
用 W2 語言實作上述虛擬補丁的代碼如下:
[
{
"if": true,
"then": "TX.key='kj2Hdsol'"
},
{
"if": [
"streq(REQUEST_FILENAME, '/vul/dl/down_nba.php')",
"REQUEST_METHOD == 'GET'"
],
"then": {
"directive": "alterResponseBody",
"op": "regex",
"target": "execdownload.*png",
"target_transform": ["rc5_enc(TX.key)", "btoa"],
"substitute": "$0"
}
},
{
"if": "begin(REQUEST_FILENAME, '/vul/dl/')",
"then": [
"TX.part = rc5_dec(atob(REQUEST_FILENAME[8:]), TX.key)",
{
"if": "begin(TX.part, 'execdownload.php?filename=')",
"then": {
"directive": "alterRequestLine",
"op": "url",
"value": "/vul/dl/${TX.part}"
}
}
]
}
]
示例代碼中有三條規則,分別作用如下:
第一條規則
定義了一個加密/解密用的密鑰字串,這個可以自行修改,
第二條規則
當服務器回傳下載頁面時,iFlow 截獲此回應,iFlow 用正則運算式匹配出頁面中的每一個下載鏈接,將其內容替換為用 RC5 加密后再進行 Base64 編碼的結果,
第三條規則
當瀏覽器請求圖片時,iFlow 截獲此請求,iFlow 用 Base64 解碼并用 RC5 解密請求 URL 中的密文部分,如果解密后的結果是明文符合原始下載鏈接的格式,則將這個明文作為 URL 發給后端 Web 服務器,
注意:上述密碼演算法和密鑰完全是在服務器端的 iFlow 中實作和運算的,攻擊者在客戶端是看不到演算法和密鑰的,
三、總結
iFlow 在不改動后端程式的情形下,防范攻擊者通過分析和構造鏈接來下載系統敏感檔案,值得說明的是,規則中的所有計算均在服務器端實作,瀏覽器端不執行任何代碼,攻擊者無法通過代碼分析來破解,(張戈 | 天存資訊)
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/288774.html
標籤:其他
上一篇:微軟官方 Win 11 “體檢工具”太爛了?開發者自己做了一個
下一篇:Linux常用命令