一、前言

最近國內關于XSS漏洞的技術文檔都比較少，所以決定寫這篇文檔，其中的很多細節和朋友們都溝通討論很久了，其中包括了我對瀏覽器同源策略和XSS的一些理解。XSS漏洞從Session劫持、釣魚、XSSWORM等主流攻擊方式發展到現在，告訴了大家一個真正的跨站師是不會被條條框框所束縛，跨站師們在不斷的創新，跨站師們會展示XSS漏洞的所有可能。

二、同源策略簡敘

同源策略是瀏覽器的安全基礎，它是瀏覽器支持的客戶端腳本的重要安全標準，我們可以從“源”上了解這一安全標準，按照W3C的標準這個“源”包括域名、協議和端口，各大瀏覽器都曾爆出過很多同源策略漏洞，危害程度各有不同，比如從06年開始流行至今的MS06-014網頁木馬漏洞都已經完全顛覆了同源策略。這次的文檔主要說的是DOM的同源策略(參考2)中的一個漏洞，然后從漏洞引申到XSS漏洞如何利用DOM的同源策略特性，最終實現瀏覽器劫持。

三、理解window對象的同源策略

窗口即指的是瀏覽器窗口，每個瀏覽器窗口都可以使用window對象實例來表示，window對象有很多屬性和方法，寫一個簡單的腳本可以歷遍出window對象的所有屬性和方法：

這些window對象的屬性和方法可以改變窗口的外觀和窗口網頁的內容，當這些屬性和方法只在一個窗口中使用并不會凸顯出安全問題，但是當多個window對象開始互相引用的時候，這些屬性和方法就必須遵循同源策略。

舉一個簡單的例子，如果在a.com的網頁可以調用b.com網頁window對象的屬性和方法，那么跨站師就可以隨便XSS互聯網上任何一個網站了，所以為了避免安全問題，同源策略是必須的。我們可以把下面的腳本保存為demo.html到本地打開或者丟到遠程服務器上進行測試，這個腳本的效果是調用不同源的子窗口window對象的屬性和方法，我們會發現location屬性的值類型是空白的，這種情況太特殊了，說明不同源的父窗口引用子窗口window對象的location屬性并沒有被拒絕訪問。

四、窗口引用功能中的同源策略漏洞

4.1 父窗口引用子窗口的同源策略問題

去年我在幻影雜志發過的IE6跨域腳本漏洞，這個問題微軟已經發布了ms08-058補丁修復，但這個漏洞仍然暴露了父窗口引用子窗口的同源策略問題。根據第二部分的測試，我們知道瀏覽器并沒有阻止父窗口訪問非同源子窗口的location屬性值，我們可以使用下面的腳本進行測試，會發現父窗口可以控制非同源子窗口location屬性值。

4.2 子窗口引用父窗口的同源策略問題

五、利用窗口引用漏洞劫持瀏覽器

經過上面三個枯燥的測試，我們已經暴露了瀏覽器一個非常嚴重的安全問題，非同源的子窗口和父窗口可以互相引用控制window對象的location屬性值，并沒有嚴格遵循同源策略，那么用戶在瀏覽器中的所有點擊行為都有可能被跨站師變相控制。

我們打開瀏覽器訪問互聯網上的各個網站，無時無刻不在點擊鏈接，我們點擊鏈接想要產生的結果是去訪問我們想要去的URL地址，用戶的正常點擊只會產生兩個結果，打開新窗口或者當前窗口轉跳，試想一下你在SNS網站、電子商務網站、BLOG、論壇里點擊一個正常的鏈接后，打開了一個“無害”的網頁，原本瀏覽的信任網頁卻已經被悄悄替換了，大家可以聯想一下會產生什么可怕的后果。

下面我寫了一個劫持瀏覽器的小Demo，思路是獲取REFERER后生成鏡像頁面，同時加入我們的劫持腳本。比如把這個hjk_ref.php丟到本地服務器上測試，將http://127.0.0.1/hjk_ref.php這樣的鏈接發到任意一個網站上，點擊鏈接打開新窗口，當所有的注意力都停滯在新窗口的時候，3秒后一個鏡像頁面將會悄悄替換鏈接所在頁。按照類似的思路，發揮跨站師的想象力，可以做更多的事情，所有的一切僅僅是因為點擊了一個鏈接。

注：各大主流瀏覽器僅opera和internet explorer 8不存在窗口引用漏洞。

六、利用XSS漏洞劫持瀏覽器

延續第四部分的思路，這部分將進入本文的一個重要環節.跨站師們都知道XSS漏洞分為持久和非持久兩種，這兩種類型的漏洞無論怎么利用都無法跳出窗口的生命周期，窗口關閉后XSS漏洞的效果也就完全消失，窗口的限制一直束縛著跨站師們的發揮，我這里將和大家一起討論跨站師的終極技巧：

6.1 正向跨窗口劫持

大家可以先試驗下hijack_open.js這個腳本，比如打開http://bbs.dvbbs.net/動網論壇主頁，我們在地址欄里復制下面的代碼使用偽協議注入hijack_open腳本，然后整個頁面的鏈接就都被劫持住了，點擊論壇里的任意一個鏈接，打開的新窗口都會被注入了一個alert對話框腳本。

6.2 反向跨窗口劫持

同樣我們也可以在動網論壇試驗，新打開任意一個版塊的窗口，在地址欄里復制下面的代碼使用偽協議注入hijack_opener腳本，我們會發現原來的頁面被反向注入了一個alert對話框腳本。

6.3 極度危險的跨框架窗口引用劫持

在vul參數中寫入下面的hijack_frame_opener腳本，跨站師就可以反向跨框架引用窗口注入腳本。

6.4 極度危險的正反向跨窗口遞歸劫持

luoluo建議我加上了這一部分，窗口之間的引用關系可能是復雜的，我們可以通過window的opener屬性鏈反向遞歸查找窗口注入XSS腳本，將互相引用過的同域窗口全部劫持，并通過異常處理規避之間跨域頁面的訪問異常，代碼如下：

假設頁面打開序列有A域->B域->A域的情況，通過對第二個A域頁面的反向遞歸劫持則可以劫持B域之前的A域頁面，從而實現“隔空打擊”。

同理，正向跨窗口劫持也可以實現遞歸劫持所有同域的鏈接，對每個打開的被劫持的頁面執行和第一個頁面一樣的劫持腳本，但是正向遞歸沒法實現反向遞歸的那種“隔空打擊”。

結合正向和反向的鏈式遞歸劫持，最終我們可以劫持所有的同域頁面。

6.5 完全控制瀏覽器

一個跨站腳本漏洞的真正意義在程序員的角度是輸入和輸出問題，而在跨站師的角度則是能夠進入同源策略了，可以擺脫同源策略的束縛做任何想做的事情。跨站師們可以利用XSS漏洞在同源策略允許的范圍內再跨頁面注入腳本，可以不再為窗口關閉后XSS漏洞的效果消失而煩惱，劫持窗口后的跨站師們可以任意發揮，劫持表單，劫持請求，劫持輸入等等，我就不再列舉實例。無論是持久型還是非持久型的XSS漏洞都是能夠發揮最大的威力的，最后實現跨站師的終極目標-完全控制瀏覽器。

七、后記

文章涉及的安全技術全部都是純研究性質，請不要將這些技術使用在非法途徑上。安全與應用永遠是一個矛盾體，通往安全的路永遠不止一條。感謝對這篇文檔的思路和技術給予過幫助的luoluo、cnqing、linx以及80Sec團隊的所有成員。

八、參考

1.http://en.wikipedia.org/wiki/Same_origin_policy

2.http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_DOM_access

3.http://www.w3.org/TR/Window/

4.http://img.hexun.com/2009-05-07/117458375.txt

5.http://www.80sec.com/all-browser-security-alert.html

6.http://www.80sec.com/ms08-058-attacks-google.html