北京實時路況對方不想說話并扔了個messageBy

微博網(wǎng)友@呆子不開口烏云白帽子多家互聯(lián)網(wǎng)公司多年安全工作經(jīng)驗新浪、騰訊、google資深網(wǎng)友t66y、tumblr網(wǎng)新注冊用戶性格和藹可親小時候長的還是蠻好看的最近十多年一直在減肥我膚淺浮躁的烏云員工眼中的我穩(wěn)重睿智的技術(shù)大牛眼中的我他看穿了我為了保護(hù)女網(wǎng)友今天只講技術(shù)今天沒有段子一些瀏覽器跨域傳輸方案postMessageJsonpCorsdocument.domain+iframelocation.hash跨文檔通信(Cross-documentmessaging)提供了網(wǎng)頁上不同文檔之間的通訊能力。以往需要在相同協(xié)議、域名、端口下的頁面才能用腳本語言通訊，現(xiàn)在的window.postMessage方法則提供了一種安全可靠的方式來控制文檔間的通信。語法otherWindow.postMessage(message,targetOrigin,[transfer]);其中有四個參數(shù)：otherWindow，發(fā)送目標(biāo)的window對象引用，例如同一頁面間的兩個iframe交互，otherwindow就可能是window.parent.frames[1]；message，要發(fā)送的數(shù)據(jù)；targetOrigin，發(fā)送數(shù)據(jù)的來源，一般是域名，如；[transfer]，用于通道通訊（ChannelMessaging），用于定義端口信息。cross-document-messagingpostMessage的幾個場景Window.open返回的窗口對象Window.openera標(biāo)簽打開的窗口form

post打開的目標(biāo)窗口iframe的contentWindowWindow.frames[0]Window.parentotherWindow.postMessagemessage從當(dāng)前頁發(fā)向了otherWindowpostMessagepostMessage普通網(wǎng)友的示例高級網(wǎng)友的示例postMessage的一些漏洞案例postMessage時的漏洞onmessage時的漏洞校驗不嚴(yán)謹(jǐn)被繞過收到的信息未做安全處理xss攻擊賬號被盜敏感信息泄露獲取用戶地址位置https劫持跨站請求觸發(fā)等等……QQ上你點啊點/H5拿你的授權(quán)/微博oauth有點弱/提權(quán)進(jìn)了你微博微博開放平臺的JSSDK使用的一個接口/oauth2/authorize?client_id=3063806388&transport=html5&scope=&response_type=token&display=js&referer=bugs/wooyun-2016-

0207504點我的鏈接我就進(jìn)你的微博

postMessage漏洞可以獲得用戶授權(quán)應(yīng)用的accesstoken

找到一個合作方接口，高權(quán)限應(yīng)用可以換取用戶的gsid

用戶登陸客戶端會自動授權(quán)安卓客戶端和ios客戶端

在iframe中open目標(biāo)頁，無popup

blocker，兼容手機客戶端

某處功能泄露安卓和ios客戶端兩款應(yīng)用的真實appkey

在cookie中設(shè)置gsid可以登陸用戶的m版微博qq中鏈接支持app偽協(xié)議，微博內(nèi)置瀏覽器的協(xié)議參數(shù)可自定義打開的url北京實時路況手機qq上你點我的鏈接我就可能獲得你的地理位置騰訊地圖的地理位置組件

地理位置組件

/tools/geolocation?key=OB4BZ-

D4W3U-B7VVO-4PJWW-6TKDJ-

WPB77&referer=myapp地圖組件在騰訊大多app的內(nèi)置瀏覽器中有較高權(quán)限poc官方第一次修復(fù)的結(jié)果是，非*.的頁面使用此組件會彈出提示框讓用戶授權(quán)利用url跳轉(zhuǎn)漏洞就可以繞過iframebduss.src="/xxxxxxxxxx?url=http%3A%2F%XXXXXXXXXXXXXXXXXXindex.php%3Fcontroller%3Dclick%26action%3Dclick%26recorddate%3D1%26mark%3D2014zms_pc_1%26url%3Dhttp%253A%252F%252F%252Fm%252Fcomponents%252Fgeolocation%253Fkey%253DVFUBZ-JIR3D-Z2M4H-PPAGG-G5KVQ-S3F2S%252526referer%253DlocationPicker";一次不徹底的修復(fù)TSRC對url跳轉(zhuǎn)漏洞的說明

我理解的url跳轉(zhuǎn)漏洞：

1、利用了被跳url的信任關(guān)系

2、可能會從被跳url獲取敏感信息某網(wǎng)站“名副其實”的xss某網(wǎng)站的代碼如下大洞朝天，法力無邊xss=非本站腳本執(zhí)行postMessage+js=Cross-site

scripting允許從http向https發(fā)message……劫持https登錄頁？/

qq郵箱登錄頁的一段js

哇塞，跟前面那個xss很像我可以劫持https的登陸頁了最后卻發(fā)現(xiàn)，褲子都脫了卻什么都干不了永遠(yuǎn)都運行不到的“漏洞”https頁面加載http的js時瀏覽器會阻止我爸媽花那么多錢給我買證書，不是讓我跟你們屌絲玩的校驗了event.origin？/script/javascript/postmsg.html任意域的xss都可以進(jìn)入對方的微博賬號任意域的xss都可以向域發(fā)起ajax請求任意域的xss都可以強制對方發(fā)微博、關(guān)注……不細(xì)講……一些小技巧空referer或Js型的url跳轉(zhuǎn)漏洞可能繞過白名單referer限制window.open到iframe里的時候，瀏覽器popup

blocker不會提示Origin校驗可能會不嚴(yán)謹(jǐn)：indexOf(“”)!=-1RegExp(“^$”)postMessage的安全注意事項遇到對的那個人，才把東西給他給你東西的，是不是對的人擦亮眼睛，不要認(rèn)錯人不要相信任何人給的東西，使用的時候要注意安全你是驕傲的公主，不要低頭，皇冠會掉不要post給*校驗origin校驗手段要嚴(yán)謹(jǐn)message使用時要注意安全處理https的站不建議使用onmessage開放平臺容易出相關(guān)漏洞，因為要和第三方交互pos