跨站WebSocket劫持

在这一节，我们将讲解跨站WebSocket劫持（CSWSH），描述攻击的影响，并阐明如何执行跨站WebSocket劫持攻击。

什么是跨站WebSocket劫持？

跨站WebSocket劫持（也被称为跨域WebSocket劫持）涉及WebSocket握手上的跨站请求伪造漏洞。当WebSocket握手请求仅依赖于HTTP Cookies进行会话处理，且不包含任何CSRF令牌或其他不可预测的值时，就会出现跨站WebSocket劫持。

攻击者可以在自己的域上创建一个恶意网页，该页面与易受攻击的应用程序建立跨站WebSocket连接。应用程序将在受害用户与应用程序的会话环境中处理该连接。

然后，攻击者的页面就可以通过这个连接向服务器发送任意消息，并读取从服务器返回的消息内容。这意味着，与常规的CSRF不同，攻击者能够与被攻击的应用程序进行双向交互。

跨站WebSocket劫持有什么影响？

一次成功的跨站WebSocket劫持攻击通常会使攻击者能够：

• **以受害用户的身份执行未经授权的操作。**如同常规的CSRF，攻击者可以向服务器端应用程序发送任意消息。如果应用程序使用客户端生成的WebSocket消息来执行敏感操作，那么攻击者就可以跨域生成适当的消息并触发这些操作。

• **获取用户可以访问的敏感数据。**与常规CSRF不同，跨站WebSocket劫持使攻击者可以通过被劫持的WebSocket与易受攻击的应用程序进行双向交互。如果应用程序使用服务器生成的WebSocket消息返回敏感数据给用户，那么攻击者就可以拦截这些消息并获取受害用户的数据。

执行跨站WebSocket劫持攻击

由于跨站WebSocket劫持攻击本质上是WebSocket握手上的CSRF漏洞，因此，执行攻击的第一步是检查应用程序执行的WebSocket握手，并确定它们是否受到CSRF保护。

就CSRF攻击的正常条件而言，你通常需要找到一个握手消息，该消息仅依赖于HTTP Cookies进行会话处理，并且在请求参数中不使用任何令牌或其他不可预测的值。

例如，以下的WebSocket握手请求很可能会受到CSRF的攻击，因为唯一的会话令牌是在Cookie中传输的：

GET /chat HTTP/1.1
Host: normal-website.com
Sec-WebSocket-Version: 13
Sec-WebSocket-Key: wDqumtseNBJdhkihL6PW7w==
Connection: keep-alive, Upgrade
Cookie: session=KOsEJNuflw4Rd9BDNrVmvwBF9rEijeE2
Upgrade: websocket

注意

Sec-WebSocket-Key标头包含一个随机值，用于防止来自缓存代理的错误，不用于认证或会话处理。

如果WebSocket握手请求易受CSRF攻击，那么攻击者的网页就可以执行跨站请求，以在易受攻击的站点上打开一个WebSocket。接下来的攻击步骤完全取决于应用程序的逻辑以及它使用WebSocket的方式。攻击可能包括：

• 发送WebSocket消息以代表受害用户执行未授权的操作。

• 发送WebSocket消息以获取敏感数据。

• 有时候，仅等待包含敏感数据的传入消息到达。

LAB

跨站WebSocket劫持