基于QtWebKit的DOM跳转漏洞检测技术

安全 漏洞
任意跳转漏洞主要是指负责转向的程序没有验证目标网站合法性,直接根据传入的URL跳转,其危害主要是能被坏人用来钓鱼。

1、前言

1.1 任意跳转漏洞及其危害

任意跳转漏洞主要是指负责转向的程序没有验证目标网站合法性,直接根据传入的URL跳转,其危害主要是能被坏人用来钓鱼。

 

 

图1 最近TSRC上报的钓鱼示例

1.2 跳转漏洞的检测难点

普通的跳转漏洞没有太大检测难点,可以直接通过HTTP返回页面源码的特征匹配来发现,本文想重点探讨下如何自动检测DOM跳转漏洞以及多次跳转才能跳到钓鱼网站的漏洞。

2、QtWebKit

关于qtwebkit的原理及其编译运行已在之前的tsrc博客做了较详细说明,这里不再赘述,具体参见http://security.tencent.com/index.php/blog/msg/12。

3、基于QtWebKit的DOM跳转漏洞检测系统

3.1 检测原理

Hook Webkit的所有Http请求,判断目标网站的url是否出现在最终的Http请求中,如果出现则说明存在任意跳转漏洞。理论上,所有普通浏览器能跳转的漏洞,Webkit内核都能自动跳转,因而本方法能检测所有跳转漏洞且不会有误报。

3.2 如何hook Http请求

Webkit内部的信号机制可以帮助我们完美的hook所有Http请求,关于信号机制的原理Webkit开源社区已有比较专业详细的介绍,这里不再赘述。本方法中通过在http发包请求类里自定义并发射信号hookCgi,在应用层监听hookCgi信号,从而实现在应用层旁路监听到Webkit所有的Http请求,同时完全不影响Webkit正常的请求逻辑。

如图3.1,3.2,应用层监听hookCgi信号,当webkit内核触发http请求时,发送hookCgi信号,从而触发自定义的GetHookCgi槽函数,如果槽函数中发现了目标钓鱼站点的Http请求,则发现任意跳转漏洞。

 

 

图3.1 应用层监听hookCgi信号

 

 

图3.2 hookCgi信号对应的槽函数

3.3 检测Demo示例

图3.3和图3.4示例了Dom跳转漏洞源码及其检测。与普通跳转漏洞不同的是,Dom跳转漏洞的检测难点是在返回页面源码中找不到目标URL的特征,本方法基于跳转行为而不基于特征匹配,因而不会有误报且发现能力极强。

 

 

图3.3 Dom跳转漏洞源码示例

 

 

图3.4 Dom跳转漏洞检测

如图1所示是近期TSRC上报的一个实际DOM跳转漏洞,该漏洞要经过两次跳转才能最终跳转到目标网站,如图3.5是该漏洞的抓包示例。如图3.6所示,我们也可以检测此类多次跳转的漏洞场景。事实上,不管经过几次跳转,只要能跳到钓鱼网站,我们都能发现。

 

 

图3.5 经过两次跳转才最终跳到钓鱼网站

 

 

图3.6 多次跳转漏洞的检测

补充说明下,对于非Dom的普通跳转,本方法亦能有效发现,如图3.7和图3.8所示。

 

 

图3.7 普通跳转漏洞源码示例

 

 

图3.8 普通跳转漏洞检测

4、总结

实际上,我们可以基于QtWebKit做很多其他事情,比如开发爬取Web2.0链接的爬虫,后续将对这些系统另文介绍。

跳转的检测方法还有很多,笔者这里只是抛砖引玉,欢迎大家多多批评指正,有任何问题欢迎随时交流。

责任编辑:蓝雨泪 来源: TSRC
相关推荐

2013-01-09 15:27:45

DOM XSS检测QtWebKitXSS

2015-12-29 14:51:51

漏洞检测工具IEFuzz

2016-03-31 15:25:09

2023-10-10 19:00:57

云网关报文检测

2017-07-19 11:11:40

CTS漏洞检测原理浅析

2016-06-07 10:47:42

2017-01-09 17:17:38

2010-09-28 15:27:09

JavaScript

2012-03-20 16:31:13

2010-01-25 11:28:59

2024-03-14 14:16:13

2013-01-09 14:17:59

2010-01-20 16:13:15

2018-11-13 08:00:14

苏宁iOS开发

2020-12-08 06:19:33

爬虫Dom树组件

2023-12-01 16:21:42

2016-09-23 11:46:00

网络硬件

2016-10-07 19:23:05

2013-07-27 20:04:38

2023-05-26 00:04:02

软件安全漏洞
点赞
收藏

51CTO技术栈公众号