跨域漏洞链深度解析：从postMessage到CSRF的精密攻击路径

跨域漏洞链深度解析：从postMessage到CSRF的精密攻击路径 1. 漏洞链概述 本教学文档详细解析了一个复杂的跨域漏洞链，该漏洞链结合了多种技术元素，包括： postMessage的不当使用 JSONP端点的粗疏防护 Web应用防火墙(WAF)规避 基于DOM的XSS在非目标子域名上的利用 CORS配置的宽松策略 最终导向CSRF攻击 2. 初始目标分析 2.1 目标范围 主要目标域： www.rxxxxd.com 其他在范围内的子域： inscope.rxxxxd.com 等 2.2 敏感操作端点 敏感操作通过POST请求到 https://www.rxxxxd.com/api 执行 认证机制： sid cookie（标记为 SameSite=None 和 Secure ） CSRF防护：需要 csrftoken 查询参数 2.3 CSRF令牌获取方式 客户端代码通过认证的GET请求到 https://www.rxxxxd.com/profile 获取反CSRF令牌 该端点配置了CORS 3. CORS策略分析 3.1 宽松的CORS配置 https://www.rxxxxd.com/profile 端点不仅允许 https://in-scope.rxxxxd.com 还允许来自 rxxxxd.com 任意子域的Web源 3.2 利用思路 在 rxxxxd.com 的任何子域名（包括范围外的）上发现XSS漏洞 利用XSS窃取受害者的反CSRF令牌 对 https://www.rxxxxd.com/api 端点发起CSRF攻击 4. 范围外子域漏洞发现 4.1 目标子域 https://out-xx-sxxe.rxxxxd.com/search 4.2 postMessage漏洞 该页面有一个不安全的 message 事件监听器 关键问题：缺少来源检查 4.3 事件监听器分析 将事件的数据属性解析为JSON，存储在 t 对象中 在 periods 上拆分 method 属性 使用步骤2的结果迭代访问 window.APP 对象的嵌套属性 调用获得的函数，将 t 对象的 arg 属性作为参数传递 5. 漏洞利用链构建 5.1 攻击步骤 恶意页面向 https://out-xx-sxxe.rxxxxd.com/search 发送精心构造的postMessage 利用不安全的监听器执行任意JavaScript代码 在受害者上下文中执行XSS攻击 利用宽松的CORS策略从 www.rxxxxd.com/profile 窃取CSRF令牌 使用窃取的令牌构造CSRF攻击请求 5.2 技术要点 利用postMessage实现跨域通信 绕过SameSite和Secure cookie限制 规避CSRF防护机制 利用CORS策略的过度宽松配置 6. 防御建议 6.1 postMessage安全 始终验证消息来源（ event.origin ） 限制可接受的来源范围 对传入数据进行严格验证 6.2 CORS配置 精确指定允许的来源，避免使用通配符 限制不必要的HTTP方法和头部 对敏感操作实施更严格的CORS策略 6.3 CSRF防护 考虑使用SameSite=Strict cookie策略 实现双重提交cookie模式 对敏感操作增加额外的验证机制 6.4 整体安全 定期进行安全审计，包括范围外资产 实施严格的输入验证和输出编码 建立完善的漏洞报告和修复流程 7. 总结 这个案例展示了现代Web应用中跨域安全问题的复杂性，以及多个看似独立的安全漏洞如何被串联起来形成强大的攻击链。安全防御需要从整体架构考虑，不能只关注核心业务逻辑的安全防护，还需要注意辅助系统和子域名的安全状况。