神秘的黑客總是能輕而易舉地破解一些網(wǎng)站的前端驗證��,他們到底是如何做到的�����?
將驗證放在后端���。前端驗證針對UX�����,而非安全性����。這是因為不良行為者會欺騙前端驗證�����。但是我們很難理解一個黑客是如何欺騙它的��。
之前筆者從沒想過,我只是想這意味著有人可以通過對Postman之類的東西發(fā)出請求來繞過驗證�。但是后來我了解到,使用相同的原產(chǎn)地政策是不可能的����。那么這些不良行為者如何提出相同的原產(chǎn)地請求?
其實����,有很多方法可以繞過客戶端驗證。HTTP只是字節(jié)流��,在HTTP 1.x中它們甚至是人們可讀的文本(至少對于標(biāo)頭而言)����。這使得偽造或操縱請求變得輕而易舉�。這是執(zhí)行方法的子集,按粗略類別分組:
在瀏覽器中繞過驗證
瀏覽到您的站點并輸入無效的值�。使用瀏覽器開發(fā)工具刪除驗證事件或操縱其執(zhí)行以任何方式通過驗證。提交表格�。使用瀏覽器開發(fā)者控制臺,就像通過經(jīng)過驗證的表單一樣��,從站點發(fā)送請求��,但是輸入未經(jīng)驗證(只需直接調(diào)用發(fā)出請求的函數(shù)即可)。使用瀏覽器開發(fā)工具“編輯并重新發(fā)送”請求�,然后在重新發(fā)送之前,將正文中的有效值更改為無效值��。對于GET請求:只需在位置欄中鍵入任何帶有無效參數(shù)的URL�����。對于使用非同一Cookie進(jìn)行身份驗證的POST請求:創(chuàng)建一個網(wǎng)頁���,以期望的值(包括任何CSRF保護(hù)令牌)但具有無效的值發(fā)布到您的服務(wù)器����,然后將其加載到瀏覽器中并提交����。使用非瀏覽器工具繞過驗證
將瀏覽器設(shè)置為通過攔截代理運(yùn)行(就像大多數(shù)安全行業(yè)中一樣,通常使用Burp Suite�,但是也可以使用Fiddler之類的其他產(chǎn)品)。捕獲出站請求��,篡改字段以使其無效�,然后繼續(xù)發(fā)送。再次使用攔截代理�,但是這次使用修改后的無效值重播先前的請求(在Burp中�,這正是Repeater工具的用途)�����。右鍵單擊瀏覽器的開發(fā)工具的網(wǎng)絡(luò)歷史記錄中的請求����,選擇“復(fù)制為cURL”,將生成的curl命令粘貼到命令行中�����,編輯已驗證的字段以使其無效��,然后按Enter發(fā)送�����。從頭開始制作惡意請求
使用Burp Repeater�����,指定站點的協(xié)議���,域和端口。添加必要的標(biāo)頭,包括授權(quán)所需的任何cookie或其他標(biāo)頭���。添加具有無效值的所需參數(shù)�����。點擊“發(fā)送”�����。使用curl����,將請求與所需的標(biāo)頭以及所需的任何正文(包括無效值)一起發(fā)送到您的網(wǎng)站�。使用ncat,在端口443上使用TLS打開到您站點的連接��。鍵入HTTP頂行��,標(biāo)頭和正文(畢竟���,這只是文本����,盡管在發(fā)送之前會經(jīng)過加密)。如果需要��,請發(fā)送文件結(jié)尾輸入(通常�,服務(wù)器只是立即響應(yīng))。使用TCP或HTTP客戶端庫(從在節(jié)點上運(yùn)行的JS到成熟的已編譯golang二進(jìn)制文件)以任何語言編寫一個小的腳本/程序�,該腳本將創(chuàng)建一個具有所有必需標(biāo)頭和無效字段的請求,并將其發(fā)送到您的服務(wù)器�。運(yùn)行腳本/程序。SOP僅在使用瀏覽器發(fā)送請求并且請求源自托管在與請求目的地不同的來源(域�,協(xié)議和端口的組合)上的網(wǎng)頁時才適用。即使這樣����,SOP仍主要保護(hù)原始頁面免受響應(yīng)。它不能阻止攻擊的發(fā)生�����。如果您是攻擊者�,試圖通過客戶端驗證,那么您只需從被攻擊的源發(fā)送請求即可�����,而SOP則完全無關(guān)�����;蛘咧皇菑姆菫g覽器(例如代理���,curl,自定義腳本)發(fā)送請求�;甚至都沒有SOP。
CORS是在SOP中戳破漏洞的一種方法(CORS不會增加任何安全性����;它是部分放松SOP的安全性功能的一種方式),因此�����,除非與SOP相關(guān)�����,否則甚至都沒有關(guān)系�。但是,在許多情況下���,您可以使用無效參數(shù)發(fā)出跨域請求(例如���,在創(chuàng)建自己的攻擊頁面并將瀏覽器指向該頁面����,然后使用它向站點提交無效請求的情況下)����,因為對于大多數(shù)情況請求,SOP僅限制是否可以看到響應(yīng)-即使服務(wù)器根本不允許CORS���,也可以跨源發(fā)送請求-并且通常不需要查看響應(yīng)�����。
身份驗證后����,將授權(quán)令牌(cookie���,標(biāo)頭值等)從瀏覽器中拉出很容易(只需在開發(fā)工具中檢查網(wǎng)絡(luò)流量��,或使用代理即可)����。請記住,要使驗證成為問題��,攻擊者必須能夠通過瀏覽器使用網(wǎng)站�����,這大概意味著他們可以進(jìn)行身份驗證���。或者只是使用curl或其他方式提交身份驗證請求����,將返回的令牌從響應(yīng)中刪除,然后將其用于惡意的無效請求中���;完全不需要瀏覽器�!
瀏覽器無法執(zhí)行任何操作(就向服務(wù)器發(fā)送請求而言)�����,而使用某些常見的開放源代碼實用程序從Shell提示符下卻無法執(zhí)行該操作����。
如果你能清楚的明白這些套路���,那么破解前端驗證對你來說并不是無法完成的事情。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
