攻擊者現可繞過MicrosoftEdge、Google Chrome和Safari的內容安全策略

就在前兩天，Talos發布了Microsoft Edge瀏覽器的安全漏洞細節，受此漏洞影響的還包括舊版本Google Chrome（CVE-2017-5033）以及基於Webkit的瀏覽器（例如蘋果的Safari：CVE-2017-2419）。攻擊者將能夠利用該漏洞繞過伺服器設置的內容安全策略，並最終竊取到目標主機中存儲的機密信息。

概述

在現代Web應用程序中，最基本的一種安全保護機制就是我們所謂的同源策略了，而同源策略規定了哪些資源可以被應用程序代碼所訪問到。簡單來說，同源策略的本質就是它只能夠允許來自特定伺服器的代碼訪問Web資源。

就好比一個腳本，假設這個腳本可以在Web伺服器（good.example.com）中運行，那麼它就能夠訪問相同伺服器中的數據資源。如果這個腳本運行在evil.example.com中，那麼它就不能訪問中的good.example.com數據資源了。

但是由於Web應用中或多或少都會存在安全漏洞，因此這將導致攻擊者能夠繞過Web應用所部屬的同源策略。其中有。一種大家比較熟悉且比較成功的攻擊技術，即跨站腳本攻擊)（XSS）。XSS允許攻擊者向瀏覽器所執行的原始伺服器代碼中注入遠程代碼，而攻擊者所注入的惡意代碼將能夠以合法應用程序的身份在原始伺服器中執行，並訪問到伺服器中的敏感數據，甚至還有可能實現應用會話劫持。

內容安全策略（CSP）是一種防禦XSS攻擊的保護機制，它使用了白名單技術來定義伺服器資源的訪問許可權。但是思科的安全研究人員已經發現了一種能夠繞過內容安全策略的新方法，而這些漏洞將允許攻擊者通過注入惡意代碼來獲取目標伺服器中存儲的敏感數據。

技術細節（CVE-2017-2419、CVE-2017-5033）

CSP所定義的Content-Security-PolicyHTTP頭可以創建一份資源白名單，並控制瀏覽器只能執行白名單中允許的資源。即使攻擊者找到了注入惡意腳本的方法，並通過

CSP所定義的Content-Security-PolicyHTTP頭可以創建一份資源白名單，並控制瀏覽器只能執行白名單中允許的資源。即使攻擊者找到了注入惡意腳本的方法，並通過<script>標籤來成功發動XSS攻擊，與白名單規則不匹配的遠程資源仍然不會被瀏覽器執行。

Content-Security-Policy HTTP頭定義的script-src指令負責配置CSP中與腳本代碼相關的內容。配置樣本如下所示:Content-Security-Policy: script-src "self"https://good.example.com

上面這段配置代碼只允許載入瀏覽器當前所訪問的伺服器以及good.example.com。

但可怕的是，Microsoft Edge（未修復）、Google Chrome（已修復）和Safari（已修復）瀏覽器中都存在一種信息披露漏洞，攻擊者將能夠利用該漏洞繞過這些瀏覽器的Content-Security-Policy頭，並成功竊取信息。

漏洞利用過程

在漏洞利用的過程中主要有三個主要步驟：1.給瀏覽器Content-Security-Policy頭設置"unsafe-inline"指令，以此來允許執行內聯腳本代碼；2.使用window.open()函數打開一個新的瀏覽器窗口；3.調用document.write函數向新創建的窗口對象注入代碼，並繞過CSP限制。

關於這三個安全漏洞的詳細信息請參考TALOS所發布的漏洞研究報告

後續討論

信息披露漏洞也許並不像能夠允許攻擊者注入遠程代碼並控制目標主機的漏洞一樣嚴重，但是XSS攻擊將允許攻擊者提取出敏感數據，甚至還有可能入侵用戶的賬號。內容安全策略就是專門為XSS攻擊所設計的，很多開發人員都依賴於CSP來防止自己的Web應用遭受XSS攻擊。但是微軟方面卻並不認為Microsoft Edge瀏覽器中的這個漏洞是一種安全問題，所以他們並不打算修復這個漏洞。

因此，我們建議廣大用戶開啟瀏覽器對內容安全策略的所有支持，並及時更新瀏覽器至最新版本。

受影響版本

Microsoft Edge（v40.15063及其之前版本）

Google Chrome（v57.0.2987.98及其之前版本）- （CVE-2017-5033）

iOS（v10.3及其之前版本）- （CVE-2017-2419）

Safari（v10.1及其之前版本）- （CVE-2017-2419）

*本文作者：Alpha_h4ck，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！