websocket客户端_websocket服务器端 c_websocket1对1聊天

WebSockets是一个能够给单TCP连接提供全双工信道的HTML5特性。它的持续性连接功能，使得构建B/S模式的实时应用成为可能。Websockets常常用在那些带有聊天功能的WEB应用上。

下面的图片就非常贴切地阐释了一个APT攻击用到的websockets：

FreeBuf小科普：

同源策略（Same origin policy）：同源是指，域名，协议，端口相同，即浏览器会检查同一浏览器的不同选项卡中，来源相同的脚本才能跨选项卡执行。
Origin字段：浏览器在发送POST请求的时候可能会加上一个Origin字段，这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里，那么在发送的请求里面Origin字段的值就为空。
IronWASP：某开源WEB测试平台，用户可以自定义安全扫描，并且可以自己用python/ruby来定义插件系统。相关介绍见：http://.freebuf.com/tools/32948.html 
ZAP(Zed Attack Proxy)：是一款集成各种工具的渗透测试框架，可以发现在WEB应用程序中的漏洞，相关介绍见：http://.freebuf.com/tools/5427.html

WebSocket的安全评估

最近，我们对一个拥有复杂菜单选项和功能的WEB应用做了安全评估。该应用中大部分操作都用到了web-sockets，这意味着其大多数行为都不会记录到http代理日志上。

首先，我们打开主页后，网站会加载一个带有JS脚本和CSS文件的静态网页。此后，整个通信交互会转为Websockets模式，浏览器和服务端之间会建立websocket连接，从而加载网站里所有可见的HTML资源。点击链接或者提交Form表单时，浏览器会向服务端发送一些WebSocket消息。服务器处理了这些消息后，会通过WebSocket进行反馈，而后客户端浏览器会展示新的HTML内容。

这时当websocket消息在进行交互时，通信数量是非常巨大的。每隔一秒它们之间会有心跳探测包的交互。然而现有的工具达不到我的要求，我不得不给IronWASP添加了一个Websocket消息分析装置和一个WebSocket客户端，这样它才能识别Websocket从而尝试fuzz其漏洞。你可以在在这里了解下相关知识。

在测试这个应用时，我发现它存在WebSocket跨站劫持（Cross-Site WebSocket Hijacking）漏洞（由christian schneider首创）。websocket客户端当然，我会在给大家介绍测试方法之前，解释下这个漏洞的影响。在测试相关Websockets应用之前，我们需要先做下准备。websocket客户端

WebSocket跨站劫持漏洞实验准备

大家应该明白，同源策略（SOP）不会通过浏览器在websockets上强制执行（同一浏览器下，受SSL保护的页面，不会让非SSL的WebSocket通过），我们测试的应用采用了http cookie作为session认证，WebSocket通过浏览器发送的消息不会有Session ID或是随机参数。

这样一来，如果某用户登录了带有漏洞的WEB应用，然后在同一浏览器还打开了（攻击者的网站），可以尝试通过该漏洞应用与应用的服务端建立一个WebSocket连接，然后通过浏览器发送一个带有效的认证Session ID的请求包。于是，这个由攻击者网站建立的WebSocket连接会和应用本身有相同的权限。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-23426-1.html