深入理解跨站点 WebSocket 劫持漏洞的原理及防范（3）

look_w

如何检测跨站点 WebSocket 劫持漏洞明白跨站点 WebSocket 劫持漏洞原理后，大家就很容易联想到这个漏洞的检测方法了，重点就在于重播 WebSocket 协议升级请求。简单来说就是使用能拦截到 WebSocket 握手请求的工具，修改请求中的 Origin 头信息，然后重新发送这个请求，看看服务器是否能够成功返回 101 响应。如果连接失败，那么说明这个 WebSocket 是安全的，因为它可以正确拒绝来自不同源（Origin）的连接请求。如果连接成功，通常就已经证明服务器端没有执行源检查，为了严谨起见，最好进一步测试是否可以发送 WebSocket 消息，如果这个 WebSocket 连接能够发送/接受消息的话，则完全证明跨站点 WebSocket 劫持漏洞的存在。
为了便于演示如何测试及修复这个漏洞，笔者编写了一个简单的 WebSocket 应用，这个应用基于 JAAS 实现了 HTTP                                BASIC 身份认证，读者可以将这个程序下载部署到 Tomcat 中进行测试。打开客户端网页后首先进行登录，然后点击“连接”按钮通过 JavaScript 建立 WebSocket 连接，然后点击“发送”按钮提交一个问题到服务器端，服务器端实时确认收到查询请求，5 秒后再将结果推送给客户端。
测试工具方面有很多选择，由于许可证原因，笔者采用了开源的 OWASP ZAP                                v2.4.3。这里要简单说一下，测试过程主要基于测试工具的代理，拦截到 WebSocket 握手请求以及 WebSocket 消息通信，然后通过工具修改 Origin 后重发请求，如果连接成功后，重发 WebSocket 客户端消息。以上功能各个商业安全测试工具都可以做到。
1. 首先在 Firefox 中配置好 ZAP 的代理，然后探索整个 WebSocket 应用。下图可以看到请求头部有 HTTP Basic                                Authorization 信息，表示已经登录成功。
图 1.                                        WebSocket 协议升级请求2. 右键选择重发 WebSocket 协议升级请求，将其中的 Origin 修改为任意其他网址后点击发送。
图                                        2. 篡改 WebSocket 协议升级请求3. 点击响应标签，可以看到服务器端返回了 101，即协议握手成功。
图 3.                                        WebSocket 协议握手成功4. 进一步测试 WebSocket 消息是否可以重发。如下图所示，右键点击第一条客户端发出的 WebSocket 消息，选择重发，输入测试消息”www”后点击发送，可以看到 ZAP 陆续收到两条服务器返回的消息。这充分证明被测试应用站点存在跨站点 WebSocket 劫持漏洞。
图                                        4. 重发客户端 WebSocket 消息