Chrome即时支付功能(JIT)安全漏洞分析与技术教学<\/h1>

1. 背景介绍<\/h2>
Chrome浏览器的支付处理API(PaymentHandler API)允许支付服务提供商处理支付请求。其中包含一个非标准功能"及时安装功能"(Just-In-Time Installation, JIT)，该功能在实现过程中被发现存在多个安全漏洞。<\/p>

2. 漏洞原理分析<\/h2>

2.1 初始漏洞发现<\/h3>

触发条件<\/strong>：<\/p>

客户端使用服务器不支持的方法调用支付请求：
new<\/span> PaymentRequest<\/span>([{ supportedMethods<\/span>:<\/span> 'https:\/\/example.com\/pay\/'<\/span> }], ...) <\/span><\/span><\/code><\/pre><\/li> <\/ul> 攻击流程<\/strong>：<\/p> Chrome会从服务器支持的方法中获取特定URL<\/li> 服务器响应需包含指向Payment Method Manifest的Header： Link:<https:\/\/example.com\/pay\/payment-manifest.json>;rel="payment-method-manifest" <\/code><\/pre> <\/li> Chrome获取Payment Method Manifest文件<\/li> Chrome获取Web App Manifest文件<\/li> Chrome使用"src"和"scope"值注册Service Worker<\/li> <\/ol> 漏洞利用<\/strong>：<\/p> 支付按钮默认聚焦，可通过让用户按住回车键3秒触发JIT安装<\/li> Service Worker脚本可指定任意"scope"参数值，导致源地址混淆<\/li> 虽然无法拦截导航\/支付请求，但可使用Console API记录用户数据<\/li> <\/ul> 修复<\/strong>：<\/p> Chrome 68禁用JIT安装功能<\/li> 检测Web App Manifest、Service Worker脚本和Scope URL是否同源<\/li> <\/ul> 2.2 第二个漏洞：无需脚本执行的Service Worker安装<\/h3> 攻击流程<\/strong>：<\/p> 攻击者站点托管恶意脚本： new<\/span> PaymentRequest<\/span>([{ supportedMethods<\/span>:<\/span> 'https:\/\/attacker.tld\/'<\/span> }], ...) <\/span><\/span><\/code><\/pre><\/li> 服务器响应包含： Link:<https:\/\/attacker.tld\/payment-manifest.json>;rel="payment-method-manifest" <\/code><\/pre> <\/li> Chrome获取Payment Method Manifest<\/li> Chrome从目标站点获取Web App Manifest（可任意Content-Type\/Content-Disposition）<\/li> <\/ol> 关键点<\/strong>：<\/p> 无需在目标站点执行脚本即可安装Service Worker（持久型XSS）<\/li> Service Worker脚本的Content-Type必须为JavaScript，但可使用Content-Disposition绕过<\/li> <\/ul> 修复<\/strong>：<\/p> 检测Payment Method Manifest和支付App是否在同一网站<\/li> <\/ul> 2.3 第三个漏洞：开放重定向绕过<\/h3> 攻击流程<\/strong>：<\/p> 攻击者网站调用： new<\/span> PaymentRequest<\/span>([{ supportedMethods<\/span>:<\/span>'https:\/\/redirect.victim.tld\/open-redirect?url=\/\/attacker.tld\/'<\/span> }], ...) <\/span><\/span><\/code><\/pre><\/li> Chrome获取不支持的方法并重定向至攻击者网站<\/li> 服务器响应包含： Link:<https:\/\/victim.tld\/user-upload\/payment-manifest.json>;rel="payment-method-manifest" <\/code><\/pre> <\/li> 攻击者只需向目标站点上传Payment Method Manifest文件<\/li> <\/ol> 利用条件<\/strong>：<\/p> 目标站点开启开放重定向功能<\/li> 可绕过所有安全检测，无需在目标站点执行脚本<\/li> <\/ul> 修复<\/strong>：<\/p> 两天内修复，增加了额外的安全检查<\/li> <\/ul> 3. 技术细节<\/h2> 3.1 Payment Method Manifest结构<\/h3> 示例Payment Method Manifest文件内容：<\/p> { <\/span><\/span> "default_applications"<\/span>: ["https:\/\/example.com\/pay\/app\/web-app-manifest.json"<\/span>], <\/span><\/span> "supported_origins"<\/span>: ["https:\/\/example.com"<\/span>] <\/span><\/span>} <\/span><\/span><\/code><\/pre>3.2 Web App Manifest结构<\/h3> 示例Web App Manifest文件内容：<\/p> { <\/span><\/span> "name"<\/span>: "Payment App"<\/span>, <\/span><\/span> "icons"<\/span>: [...<\/span>], <\/span><\/span> "serviceworker"<\/span>: { <\/span><\/span> "src"<\/span>: "sw.js"<\/span>, <\/span><\/span> "scope"<\/span>: "\/pay\/"<\/span> <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>3.3 Service Worker注册机制<\/h3> Chrome使用Web App Manifest中的"src"和"scope"值注册Service Worker<\/li> "scope"参数可被恶意修改，导致源地址混淆<\/li> <\/ul> 4. 漏洞影响<\/h2> UXSS类漏洞<\/strong>：类似于通用跨站脚本攻击，可窃取用户数据<\/li> 持久型XSS<\/strong>：无需脚本执行即可安装恶意Service Worker<\/li> 数据泄露<\/strong>：通过Console API记录用户敏感信息<\/li> 支付安全<\/strong>：可能干扰正常支付流程或窃取支付信息<\/li> <\/ol> 5. 防护措施<\/h2> 同源策略加强<\/strong>：<\/p> 确保Web App Manifest、Service Worker脚本和Scope URL同源<\/li> 验证Payment Method Manifest和支付App在同一网站<\/li> <\/ul> <\/li> 内容类型验证<\/strong>：<\/p> 严格验证Service Worker脚本的Content-Type<\/li> 限制Content-Disposition的使用<\/li> <\/ul> <\/li> 重定向防护<\/strong>：<\/p> 禁止开放重定向功能<\/li> 验证重定向目标的可信度<\/li> <\/ul> <\/li> 用户交互要求<\/strong>：<\/p> 增加明确的用户确认步骤<\/li> 取消支付按钮的默认聚焦<\/li> <\/ul> <\/li> <\/ol> 6. 研究价值<\/h2> 漏洞奖励<\/strong>：三个漏洞共获得约11,133.7美元奖励<\/p> <\/li> 时间线<\/strong>：<\/p> Chrome 68：禁用JIT安装功能<\/li> Chrome 69：完整修复后重新上线<\/li> <\/ul> <\/li> 安全启示<\/strong>：<\/p> 新功能实现需全面考虑安全边界<\/li> 跨域交互和Service Worker注册是安全关键点<\/li> 即使复杂功能也可能存在简单绕过方式<\/li> <\/ul> <\/li> <\/ol> 7. 技术验证<\/h2> PoC验证方法<\/strong>：<\/p> 同网站Service Worker安装PoC（参见原文链接）<\/li> 测试环境要求： Chrome 67或更早版本<\/li> 可控的支付服务端点<\/li> 文件上传能力（针对第二个漏洞）<\/li> <\/ul> <\/li> <\/ol> 8. 总结<\/h2> Chrome的JIT支付功能实现过程中暴露了Web平台多个安全边界问题，特别是：<\/p> Service Worker注册机制的可滥用性<\/li> 跨域资源获取的安全检查不足<\/li> 用户交互最小化带来的安全隐患<\/li> <\/ul> 这些漏洞的发现和修复过程展示了现代Web安全研究的典型模式，也为支付相关Web API的安全设计提供了重要参考。<\/p>

Chrome即时支付功能(JIT)安全漏洞分析与技术教学<\/h1>

1. 背景介绍<\/h2> Chrome浏览器的支付处理API(PaymentHandler API)允许支付服务提供商处理支付请求。其中包含一个非标准功能"及时安装功能"(Just-In-Time Installation, JIT)，该功能在实现过程中被发现存在多个安全漏洞。<\/p>

2. 漏洞原理分析<\/h2>

3. 技术细节<\/h2>

1. 背景介绍<\/h2>
Chrome浏览器的支付处理API(PaymentHandler API)允许支付服务提供商处理支付请求。其中包含一个非标准功能"及时安装功能"(Just-In-Time Installation, JIT)，该功能在实现过程中被发现存在多个安全漏洞。<\/p>