客户端CSRF漏洞检测工具JAW教学文档<\/h1>

1. 客户端CSRF概述<\/h2>

1.1 基本概念<\/h3>
客户端跨站点请求伪造(客户端CSRF)是一种新型的CSRF漏洞，攻击者可以通过修改程序的输入参数，欺骗客户端JavaScript程序将伪造的HTTP请求发送到易受攻击的目标站点。<\/p>

1.2 与传统CSRF的区别<\/h3>

传统CSRF<\/strong>：易受攻击的是服务器端程序，无法区分传入的身份验证请求是否是有意执行的<\/li>

客户端CSRF<\/strong>：易受攻击的是JavaScript程序，攻击者可通过修改JavaScript程序的输入参数生成任意请求<\/li> <\/ul>
1.3 攻击影响<\/h3>

执行服务器端敏感操作<\/li>
破坏数据库完整性<\/li>
可能导致远程代码执行、非法汇款或身份欺诈<\/li>
可启用跨站脚本(XSS)和SQL注入等攻击<\/li> <\/ul>
1.4 攻击原理示例<\/h3>
\/\/ 易受攻击的代码示例 <\/span><\/span><\/span><\/span>var<\/span> input<\/span> =<\/span> document.getElementById<\/span>('input'<\/span>); \/\/ 获取输入字段 <\/span><\/span><\/span><\/span>function<\/span> h<\/span>() { <\/span><\/span> var<\/span> uri<\/span> =<\/span> window.location<\/span>.hash<\/span>.substring<\/span>(1<\/span>); \/\/ 从URL片段获取URI <\/span><\/span><\/span><\/span> if<\/span> (uri<\/span>.indexOf<\/span>('example.com'<\/span>) ><\/span> -<\/span>1<\/span>) { <\/span><\/span> YAHOO<\/span>.util<\/span>.Connect<\/span>.asyncRequest<\/span>('GET'<\/span>, uri<\/span>, { \/\/ 发送异步请求 <\/span><\/span><\/span><\/span> success<\/span>:<\/span> function<\/span>(o<\/span>) { input<\/span>.value<\/span> =<\/span> o<\/span>.responseText<\/span>; } <\/span><\/span> }); <\/span><\/span> } <\/span><\/span>} <\/span><\/span>YAHOO<\/span>.util<\/span>.Event<\/span>.addListener<\/span>('loadInvoice'<\/span>, h<\/span>); \/\/ 注册事件处理程序 <\/span><\/span><\/span><\/code><\/pre>2. JAW工具架构<\/h2> 2.1 整体架构<\/h3> JAW主要由以下模块组成：<\/p> 数据收集模块<\/li> 图构造模块<\/li> 漏洞分析模块<\/li> <\/ol> 2.2 混合属性图(HPG)<\/h3> HPG是JAW的核心模型，结合了静态和动态程序行为分析：<\/p> 2.2.1 代码表示部分<\/h4> 抽象语法树(AST)<\/strong>：对程序进行分层分解<\/li> 控制流程图(CFG)<\/strong>：描述程序指令执行顺序<\/li> 过程间调用图(IPCG)<\/strong>：支持过程间静态分析<\/li> 程序依赖图(PDG)<\/strong>：建模变量值依赖关系<\/li> 事件注册、调度和依赖性图(ERDDG)<\/strong>：捕获JavaScript事件驱动特性<\/li> 语义类型<\/strong>：标识安全敏感操作<\/li> <\/ul> 2.2.2 状态值部分<\/h4> 事件跟踪<\/strong>：捕获运行时触发的事件序列<\/li> 环境属性<\/strong>：记录DOM树和全局对象状态<\/li> <\/ul> 2.3 符号建模<\/h3> JAW为第三方库生成可重用的符号模型，包含：<\/p> 库函数和对象属性的语义类型映射<\/li> 函数输入输出关系模型<\/li> <\/ul> 3. JAW使用方法<\/h2> 3.1 数据收集阶段<\/h3> 输入种子URL和可选测试用例<\/li> 使用无头Chrome爬取目标应用<\/li> 收集资源： HTML页面<\/li> JavaScript代码<\/li> HTTP请求\/响应<\/li> JavaScript属性<\/li> DOM树快照<\/li> 事件触发记录<\/li> <\/ul> <\/li> <\/ol> 3.2 图构造阶段<\/h3> 规范化JavaScript代码<\/strong>：<\/p> 合并脚本和内联代码<\/li> 替换内联事件处理程序为addEventListener<\/li> <\/ul> <\/li> 库检测<\/strong>：<\/p> 使用已知签名识别第三方库<\/li> 为每个库创建符号模型<\/li> <\/ul> <\/li> 构建HPG<\/strong>：<\/p> 使用Esprima生成AST<\/li> 使用Esgraph生成CFG<\/li> 使用修改版dujs生成PDG<\/li> 构建IPCG和ERDDG<\/li> 传播语义类型<\/li> <\/ul> <\/li> <\/ol> 3.3 漏洞分析阶段<\/h3> JAW使用声明式图遍历检测客户端CSRF漏洞：<\/p> 3.3.1 基本检测查询<\/h4> MATCH (n) WHERE isDeclOrStmt(n) AND hasChild(n, c1) AND hasSemType(c1, "REQ") AND hasChild(n, c2) AND hasSemType(c2, "WIN.LOC") RETURN n <\/code><\/pre> 3.3.2 可达性检查<\/h4> 从易受攻击节点向后追踪CFG边<\/li> 遇到函数调用时跳转到调用位置<\/li> 处理事件触发路径<\/li> 检查是否可达CFG入口节点<\/li> <\/ol> 3.3.3 漏洞利用分析<\/h4> 确定攻击者可操纵的请求字段<\/li> 分析请求中可注入点的数量<\/li> 识别请求模板模式<\/li> <\/ul> 4. 评估结果<\/h2> 4.1 测试环境<\/h3> 106个Bitnami Web应用<\/li> 4,836个网页<\/li> 228,763,028行JavaScript代码<\/li> <\/ul> 4.2 主要发现<\/h3> 可伪造请求<\/strong>：<\/p> 共发现12,701个可伪造请求<\/li> 影响87个Web应用<\/li> 识别25种不同请求模板<\/li> <\/ul> <\/li> 可利用漏洞<\/strong>：<\/p> 203个请求可被利用<\/li> 影响7个应用程序<\/li> 可执行状态更改操作或启用XSS\/SQLi<\/li> <\/ul> <\/li> 攻击者可控字段<\/strong>：<\/p> 9个应用：可操纵URL域<\/li> 34个应用：可操纵URL路径<\/li> 41个应用：可操纵URL查询字符串<\/li> 41个应用：可操纵body参数<\/li> <\/ul> <\/li> <\/ol> 4.3 动态分析的重要性<\/h3> 纯静态方法(JAW-static)漏报7.07%漏洞<\/li> 漏报中包括79.3%的可利用漏洞<\/li> 动态信息增加了0.26%的控制路径<\/li> <\/ul> 5. 防御建议<\/h2> 5.1 开发建议<\/h3> 避免直接从以下来源获取请求参数：<\/p> window.location属性<\/li> document.referrer<\/li> postMessages<\/li> Web存储<\/li> URL参数和片段<\/li> <\/ul> <\/li> 对客户端生成的请求实施服务端验证：<\/p> 检查请求是否符合预期模式<\/li> 验证参数范围和类型<\/li> <\/ul> <\/li> 对敏感操作使用反CSRF令牌：<\/p> 确保令牌不可预测<\/li> 避免在客户端代码中暴露令牌生成逻辑<\/li> <\/ul> <\/li> <\/ol> 5.2 检测建议<\/h3> 使用JAW等工具定期扫描应用<\/li> 重点关注单页应用(SPA)中的客户端请求<\/li> 检查跨页面共享的代码模式<\/li> <\/ol> 6. 局限性<\/h2> 动态代码分析<\/strong>：<\/p> 对eval、setTimeout等动态构造支持有限<\/li> this关键字的指针分析不够精确<\/li> <\/ul> <\/li> 爬取覆盖<\/strong>：<\/p> 可能遗漏需要特定用户交互的页面<\/li> 对复杂AJAX应用的支持有限<\/li> <\/ul> <\/li> 模型精度<\/strong>：<\/p> 依赖底层静态分析工具的质量<\/li> 对反射和动态代码生成处理不足<\/li> <\/ul> <\/li> <\/ol> 7. 结论<\/h2> JAW是首个专门检测客户端CSRF漏洞的工具，其核心创新HPG模型有效结合了静态和动态分析。评估表明客户端CSRF在Web应用中普遍存在，且可导致严重后果。开发人员应重视此类漏洞，并在开发过程中采取适当防御措施。<\/p>

客户端CSRF漏洞检测工具JAW教学文档<\/h1>

1. 客户端CSRF概述<\/h2>

1.1 基本概念<\/h3> 客户端跨站点请求伪造(客户端CSRF)是一种新型的CSRF漏洞，攻击者可以通过修改程序的输入参数，欺骗客户端JavaScript程序将伪造的HTTP请求发送到易受攻击的目标站点。<\/p>

2. JAW工具架构<\/h2>

2.2 混合属性图(HPG)<\/h3> HPG是JAW的核心模型，结合了静态和动态程序行为分析：<\/p>

3. JAW使用方法<\/h2>

3.3 漏洞分析阶段<\/h3> JAW使用声明式图遍历检测客户端CSRF漏洞：<\/p>

4. 评估结果<\/h2>

5. 防御建议<\/h2>

1.1 基本概念<\/h3>
客户端跨站点请求伪造(客户端CSRF)是一种新型的CSRF漏洞，攻击者可以通过修改程序的输入参数，欺骗客户端JavaScript程序将伪造的HTTP请求发送到易受攻击的目标站点。<\/p>

2.2 混合属性图(HPG)<\/h3>
HPG是JAW的核心模型，结合了静态和动态程序行为分析：<\/p>

3.3 漏洞分析阶段<\/h3>
JAW使用声明式图遍历检测客户端CSRF漏洞：<\/p>