漏洞公告团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > 漏洞公告 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

跨站点Websocket Hijacking漏洞：劫持使用新应用程序的用户的Websocket连接，构造恶意Websocket信息，并劫持目标受害者的Facebook帐户。

文章来源：重庆网络安全围观次数：

分享到:

摘要：跨站Websocket Hijacking漏洞可劫持使用新应用的用户Websocket 连接，构造恶意Websocket信息，实现对目标受害者的Facebook账号劫持。

由于新启动的Facebook应用程序仍处于测试阶段，只能邀请少数安全人员进行访问测试，因此该应用程序名称已隐藏在以下漏洞说明中，并且暂时未提供相关的利用代码。

漏洞的原因

由于此Facebook新启动的应用程序托管在facebook.com的子域下，并且允许将其本地IP地址（例如0.0.0.1/8或192.168.1.1/8）作为Origin主机标头包含在内，因此该应用程序基于随机数安全登录（在登录页面上生成一个随机数，然后在随后的Websocket消息中发送以进行验证）。随机数用于建立有效的Websocket连接会话，并且不依赖Cookie信息进行用户身份验证。

但是，当测试授权机制中的另一个bug时发现了一个变化。根据之前的分析，授权机制还应该使用随机数来验证登录名。但是在这里，用户的Facebook全局cookie被用来验证用户身份。

以下是使用Facebook的内部IP地址成功为Origin主机标头建立Websocket连接的信息：

总而言之，由于Origin主机头仅允许本地IP地址，因此与受害者位于同一本地网络段上的攻击者可以构建恶意Websocket连接，并将其通过DNS欺骗或点对点发送给受害者，以实现受害者Facebook 帐户劫持。

此外，可以在受害人的手机上安装恶意APP，以启动HTTP服务而没有权限限制，然后以deep-link的形式向受害人其他IP地址上同一网段的Facebook用户发送构造的恶意URL链接。扩大攻击。

复现漏洞

1.为了更好地解释其用法，访问REDACTED.facebook.com，然后保存该主页，该主页与处理websocket通信的Javascript脚本文件一起保存。因为Websocket通信消息是经过加密的，并且此处的Javascript脚本文件已编码，所以很难理解，并且某些稍作修改的Javascript脚本文件将在后续攻击中使用。之后使用包含这些修改的Javascript脚本文件启动了HTTP服务；

2.使用上面启动的http服务，向同一网段上的受害者发送恶意链接之后，其中涉及的脚本将与REDACTED.facebook.com服务器建立Websocket连接，然后在登录期间建立身份阶段身份验证需要用户cookie信息（因为Websocket不限于SOP或CORS策略，这对于本地IP是可行的）

3.作为POC测试，在访问了包含本地IP的上述恶意链接之后，受害者会看到他已成功登录Facebook帐户，但是Javascript脚本文件包含了可用作攻击者的攻击Payload。登录成功后，将特定的websocket发送给攻击者，以添加绑定的Facebook帐户的电子邮件或手机号码以劫持受害者的Facebook帐户。该攻击对Android手机用户有效，尚未在iOS中进行测试。

该漏洞已修复。

本文由重庆网络安全整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

上一篇：反序列化漏洞(CVE-2020-2551) ：Weblogic核心组件IIOP协议，调用远程对象的实现存在缺陷导致序列化对象可以任意构造
下一篇：Facebook接口的三个信息泄漏：可获取任何Facebook应用程序的管理员帐户，开发人员联系邮箱和业务用户帐户ID。