websocket客户端_websocket服务器端 c_websocket1对1聊天(2)

由于整个应用都是以websockets为基础运行的，劫持了WebSocket就相当于劫持了用户的session。所以这个漏洞在本质上和存储型跨站脚本漏洞是一样的。

如果你认为这就很糟了，那当你听到某些情况下WebSocket跨站脚本，甚至可以在用户系统上实现远程代码执行的时候，会不会更惊讶呢？事见IPython Notebook的案例。

测试之前，你首先要做的就是确认该应用是否存在WebSockets。幸运的是，做这个非常简单，你只需要知道以下三点:

1.WebSocket的URL连接一般是以ws://或者wss://开头的。
2.需要检测建立连接的Origin头，该网页可能是通过Origin字段建立的WebSocket链接。
3.浏览器和服务端之间发送的消息中，我们可以从中检查出普通WebSocket连接的特征。

下面这张图会给你展示：如何通过IronWASP日志得到Origin字段的值和WebSocket的URL值。

一旦你得到这些信息，你可以使用一些特殊方法，对跨站WebSocket劫持漏洞进行检测。我在这里例举三个简单的例子：

使用代理软件（如Burpsuite）:

这里必须提到的是，burpsuite可以捕获和记录WebSockets的消息。而ZAP和IronWASP是我所知道的，可以重放websocket请求的软件。

在burpsuite里，我们不能重放websockets消息，但我们还是可以在有限条件下，检测WebSocket握手包是否成功。为了进行测试，我们需要分析websocket的升级请求包：它们会通过http或者https发送，因此可以被重放。

以下截图为burpsuite重放器（Repeat选项卡）的记录，其显示了websocket连接的有效请求和应答情况：

为了测试这个漏洞，我们需要发送另一个带有重制后的Origin头的请求包。如果我们回应包里有“101 Web Socket Protocol Handshake”的标志，这就表示WebSocket已经建立成功了。

ZAP可以重放WebSocket消息，但据我了解，它并不能更改Origin头。下面介绍的方法可以给你科普下，如何通过CSWSH（WebSocket跨站劫持）来获得更多的东西。

使用WebSocket跨站劫持的测试工具

打开需要测试的WEB应用登入其中，然后在同一浏览器中开一个新选项卡，访问‍‍（模拟的黑客网站），输入该WebSocket的URL地址，然后点击网页上的Connect按钮。一旦建立连接，你就可以通过这个页面向WebSocket的服务器发送消息。我们需要通过重放有效session发送过的消息，然后查看服务器的回应包。‍‍

如果服务端的回应与前面有效session发送的正常包相同，那就说明该应用可能存在WebSocket跨站劫持漏洞。

使用IronWASP

IronWASP可以做到更多，即使是最基础的检测也能提供自动化脚本检查。

使用IronWASP的WebSocket客户端

以上测试Origin的方法的使用的服务端是，如果你想要更加灵活地设置Origin值，你可以使用IronWASP的客户端功能。它允许你自定义Origin值来测试WebSocket连接。

在以下环境下可能会用到客户端功能：

1.应用允许来自开放的Origin的WebSocket连接
2.应用允许来自localhost和内网IP的Origin字段值

这种做法是为了方便开发者和应用的内部测试。通过使用IronWASP的客户端，你可以尝试内网IP或者localhost作为Origin是否能够生效。如果可以的话，那没准儿你可以耍一点小手段，在真实环境下利用这个漏洞。比如，如果某个应用允许http:/127.0.0.1:8080作为Origin字段，那我们就可以这样做：若受害者正好有个在本地8080端口运行的WEB应用，而且其存在跨站脚本漏洞。如果满足这些条件，黑客可以先在该WEB应用上进行跨站攻击，然后再向目标应用服务端建立WebSocket连接：

使用IronWASP的WebSocket API进行自动化检测

如果你需要利用localhost或者内网IP进行测试Origin头，使用客户端脚本进行自动化检测会让你的行动更加轻松。IronWASP允许你使用Python或者Ruby进行实现自定义脚本编写。

下面这个脚本可以单独检测Origin头里填充的内网IP地址，测试服务端对此是否认可：

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-23426-2.html