Web安全读书笔记7- DNS Pinning

DNS Pinning

域名-IP变换攻击
(1) 一个用户点击了一个URL为http://wahh-attacker.com/连接
(2) 用户的浏览器解析域名wahh-attacker.com。为完成这个任务，他对攻击者的域名服务器进行一次dns查询，域名服务器以攻击者的IP地址(1.2.3.4)响应，生存时间（TTL）为1秒。
(3) 用户的浏览器向IP地址1.2.3.4提出以下请求
GET  /  HTTP/1.1
Host: wahh-attacker.com
(4) 攻击者的web服务器返回一个页面，其中包含一段脚本等待2秒，然后执行两个操作，第一个操作是使用XMLHttpRequest获取http://wahh-attacker.com/。由于这个域调用脚本的域是同一个域，因而这个请求得到（浏览器的）批准。
(5) 因为浏览器已经等待了2秒，它对wahh-attacker.com进行的前一次DNS查询已经终止(TTL时间已经到了)，于是浏览器（自动）进行第二次查询。这次，攻击者的域名服务器以wahh-ap.com的IP地址5.6.7.8进行响应。
(6) 用户的浏览器向IP地址5.6.7.8提出请求
GET / HTTP/1.1
Host: wahh-attacker.com
(7) wahh-app.com服务器以它的内容进行响应，攻击者可通过XMLHttpRequest对象处理这些内容
(8) 在第（4）步加载的攻击者的脚本执行它的第二个操作，向攻击者控制的一个位置传送在第（7）步获得的数据。
这种攻击的目的是为了获取在公司内部网的数据，

DNS pinning的作用是防止上面的攻击
使用DNS pinning，当浏览器将一个域名解析为IP地址时，无论域名服务器查询指定的TTL设置为多少，他们都会将这个IP地址保存在缓存中，直到当前会话终止。所以上面第五步不能使用了。

但是可以使用反dns pinning
拒绝http连接可以突破dns pinning，在攻击者第五步用户的浏览器强制dns pinning，随后向当初的IP地址1.2.3.4提出请求，但是如果攻击者的服务器拒绝这个连接（例如设置防火墙保护它的http端口），那么用户的浏览器就会放弃dns pinning并且对wahh-attacker.com进行一次新的查询。这时，攻击者以5.6.7.8响应

对于上面第六步消息头Host 应用程序可能会检查的问题，可以通过旧版浏览器修改host头解决

常用工具
Beff
XSS Shell