现代浏览器新安全研究

1、地址栏攻击存储攻击页面攻击 状态栏攻击插件攻击特性隐私攻击跨域攻击标签攻击一URL地址栏欺骗攻击二URL状态栏欺骗攻击三页面标签欺骗攻击四页面解析欺骗攻击五扩展插件攻击六本地存储攻击七绕过安全策略八隐私安全九特性差异n鼠标移动到URL上-状态栏显示URLn鼠标点击/拖放URL加载地址栏及页面n点击URL欺骗n浏览器通性nOnclick()，Onmouseup()，Onmousedown()n浏览器差异nHTML5 pushState()，20%，long 20%，空格，？n浏览器自身特性n拖放URL欺骗nChrome，Firefox，IE，Safarinondragstartnevent.da

2、taTransfer.setData(url type,url)nDEMO老的老的Chrome,FF,IEChrome,FF,IE新的新的Chrome,FF,IEChrome,FF,IEnCSS样式处理状态栏欺骗nChrome,IE,Firefox改变状态栏处理方式n链接无焦点，不出现地址栏，否则相反。n地址栏区域越界到页面区域nCSS3增加阴影，圆角属性nbox-shadownborder-radiusn未来伪造浏览器模块攻击n当浏览器模块区域越界，就有被脚本伪造的可能nDEMOnTabnabbing工作原理n用户正常浏览器网站n检测页面长时间失去焦点n篡改标签图标，标题，页面内容n用户再次

3、查看众多打开的标签，假标签产生视觉欺骗。n用户打开伪造页面，登录跳转真正页面。n受影响：Chrome,Firefoxn处理多个函数竞争阻塞发生逻辑错误n导航函数和对话框函数阻塞nWindow.open(),window.locationnAlert(),prompt()n导航函数和写页面函数阻塞nWindow.open(),window.locationnDocument.write()n危害：实现域欺骗。实施钓鱼攻击。n国内浏览器普遍存在这个问题nQQ浏览器页面欺骗漏洞nCNVD-2012-09737nCNNVD-201202-901n搜狗浏览器页面欺骗漏洞nCNVD-2012-09736n

4、CNNVD-201202-900nn国外浏览器插件 2011年统计n大多数用户没有意识自己安装了哪些插件n多数企业中没有部署，以获取最新插件补丁n安全风险80%来自插件，20%来自浏览器自身。n恶意插件攻击n插件本身就是恶意程序n获取历史记录，账户密码，病毒传播n正常插件攻击n插件自身存在漏洞nAdobe Acrobat Reader Plugin = 7.0.xnhttp:/host/filename.pdf#sometext=javascript:coden插件无漏洞，但加载有漏洞的程序n如：Flashback，60W Mac僵尸，利用java插件加载恶意java程序，利用java的一个漏

5、洞，获取系统权限n用户方面n不安装并卸载未知插件nabout:pluginsn检查更新插件/en-US/plugincheck/nhttps:/ 格式格式加密加密存储路径存储路径Firefox3.0+5MSQLite明文C:UsersuserAppDataRoamingMozillaFirefoxProfilestyraqe3f.defaultwebappsstore.sqliteChrome4.0+5MSQLite明文C:UsersuserAppDataLocalGoogleChromeUser DataDefaultLocal StorageIE8.0+5M

6、XML明文C:UsersuserAppDataLocalMicrosoftInternet ExplorerDOMStore Safari4.0+5MSQLite明文C : U s e r s u s e r A p p D a t a L o c a l A p p l e ComputerSafariLocalStorageOpera10.5+5MXMLBASE64 C:UsersuserAppDataRoamingOperaOperapstoragen不可替代Cookien不要存储敏感信息n严格过滤输入输出n容易遭到跨目录攻击n容易遭到DNS欺骗攻击n恶意代码栖息的温床n绕过XSS防御n

7、XSS filternIE8+，Chrome4+，Safari5+，FF(noscript)n各种代码变型n双参数：p1=prompt(1);/*&p2=*/n注释： /*/*/alert(1);n自动闭合： 4 K n页面返回400错误，其中包含Cookien攻击n通过XSS漏洞n设置4KCookien从返回页面中筛选出Cookien发送Cookie到攻击者服务器n成功绕过HttpOnlyn界面伪装n方法：(ClickDrag&DropTap)jackingn过程：点/拖/摸的对象是隐藏在其下方的对象n技术：隐藏层+Frame包含n绕过X-Frame-Optionsn构造多个

8、页面nhistory.forward()，history.back()n实例：http:/lcamtuf.coredump.cx/clickit/n此攻击方式设计复杂，且需高交互nPwn2Own 2012 n奖金最高6W美金n成功绕过Chrome沙箱n花费了6个不同类型bugn绕过沙箱所有保护，将越来越难n更多：/2012/05/tale-of-two-pwnies-part-1.htmln隐身模式nChrome,Firefox,Opera,IE,Safarin本地Cookie，搜索记录，临时文件不被记录n书签被记录，网站服务器会记录n收集的信息n地理位