`

Web安全读书笔记7- DNS Pinning

阅读更多
DNS Pinning

域名-IP变换攻击
(1) 一个用户点击了一个URL为http://wahh-attacker.com/连接
(2) 用户的浏览器解析域名wahh-attacker.com。为完成这个任务,他对攻击者的域名服务器进行一次dns查询,域名服务器以攻击者的IP地址(1.2.3.4)响应,生存时间(TTL)为1秒。
(3) 用户的浏览器向IP地址1.2.3.4提出以下请求
GET  /  HTTP/1.1
Host: wahh-attacker.com
(4) 攻击者的web服务器返回一个页面,其中包含一段脚本等待2秒,然后执行两个操作,第一个操作是使用XMLHttpRequest获取http://wahh-attacker.com/。由于这个域调用脚本的域是同一个域,因而这个请求得到(浏览器的)批准。
(5) 因为浏览器已经等待了2秒,它对wahh-attacker.com进行的前一次DNS查询已经终止(TTL时间已经到了),于是浏览器(自动)进行第二次查询。这次,攻击者的域名服务器以wahh-ap.com的IP地址5.6.7.8进行响应。
(6) 用户的浏览器向IP地址5.6.7.8提出请求
GET / HTTP/1.1
Host: wahh-attacker.com
(7) wahh-app.com服务器以它的内容进行响应,攻击者可通过XMLHttpRequest对象处理这些内容
(8) 在第(4)步加载的攻击者的脚本执行它的第二个操作,向攻击者控制的一个位置传送在第(7)步获得的数据。
这种攻击的目的是为了获取在公司内部网的数据,

DNS pinning的作用是防止上面的攻击
使用DNS pinning,当浏览器将一个域名解析为IP地址时,无论域名服务器查询指定的TTL设置为多少,他们都会将这个IP地址保存在缓存中,直到当前会话终止。所以上面第五步不能使用了。

但是可以使用反dns pinning
拒绝http连接可以突破dns pinning,在攻击者第五步用户的浏览器强制dns pinning,随后向当初的IP地址1.2.3.4提出请求,但是如果攻击者的服务器拒绝这个连接(例如设置防火墙保护它的http端口),那么用户的浏览器就会放弃dns pinning并且对wahh-attacker.com进行一次新的查询。这时,攻击者以5.6.7.8响应

对于上面第六步消息头Host 应用程序可能会检查的问题,可以通过旧版浏览器修改host头解决

常用工具
Beff
XSS Shell
分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics