- name: 翻译
  desc: 原文：https://portswigger.net/web-security/websockets/cross-site-websocket-hijacking
  bgColor: '#F0DFB1'
  textColor: 'green'

# 跨站点WebSocket劫持

在本节中，我们将解释跨站点 WebSocket 劫持（CSWSH），描述遭受入侵时的影响，并详细说明如何执行跨站点 WebSocket 劫持攻击。

# 1什么是跨站点WebSocket劫持？

跨站点 WebSocket 劫持（也称为跨源 WebSocket 劫持）涉及 WebSocket 握手上的跨站点请求伪造（CSRF）漏洞利用。当 WebSocket 握手请求仅依赖 HTTP cookie 进行会话处理，并且不包含任何 CSRF 令牌或其他不可预测的值时，就会出现这种情况。

攻击者可以在自己的域上创建恶意网页，从而与易受攻击的应用程序建立跨站点 WebSocket 连接。应用程序将在受害用户 与 应用程序的会话上下文中处理连接。

然后，攻击者的页面可以通过该连接，向服务器发送任意消息，并读取从服务器接收回来的消息内容。这意味着，与常规 CSRF 不同，攻击者获得了与受损应用程序的双向交互。

# 2跨站点 WebSocket 劫持有什么影响？

成功的跨站点 WebSocket 劫持攻击通常使攻击者能够：

• 伪装成受害用户并执行未经授权的操作。与常规 CSRF 一样，攻击者可以向服务器端应用程序发送任意消息。如果应用程序使用客户端生成的 WebSocket 消息来执行任何敏感操作，则攻击者可以 跨域生成合适的消息 并触发这些操作。
• 检索用户可以访问的敏感数据。与常规 CSRF 不同，跨站点 WebSocket 劫持使攻击者能够通过被劫持的 WebSocket 来与易受攻击的应用程序进行双向交互。如果应用程序使用服务器生成的 WebSocket 消息来向用户返回任何敏感数据，则攻击者可以拦截这些消息并捕获受害用户的数据。

# 3执行跨站点WebSocket劫持攻击

由于跨站点 WebSocket 劫持攻击本质上是 WebSocket 握手上的 CSRF 漏洞，因此执行攻击的第一步是 - 检查应用程序执行的 WebSocket 握手，并确定它们是否受到 CSRF 保护。

就CSRF攻击的正常条件 (opens new window)而言，你通常需要找到一个握手消息，该消息仅依赖于 HTTP cookie 进行会话处理，并且在请求参数中不包含任何令牌或其他不可预测的值。

例如，以下 WebSocket 握手请求可能容易受到 CSRF 的攻击，因为唯一的会话令牌是在 cookie 中传输的：

GET /chat HTTP/1.1
Host: normal-website.com
Sec-WebSocket-Version: 13
Sec-WebSocket-Key: wDqumtseNBJdhkihL6PW7w==
Connection: keep-alive, Upgrade
Cookie: session=KOsEJNuflw4Rd9BDNrVmvwBF9rEijeE2
Upgrade: websocket

如果 WebSocket 握手请求容易受到 CSRF 的攻击，则攻击者的网页可以执行跨站点请求，以在易受攻击的站点上打开 WebSocket。接下来，在攻击中发生的操作，完全取决于应用程序的逻辑以及它如何使用 WebSocket。攻击可能涉及：

• 发送 WebSocket 消息以代表受害用户执行未经授权的操作。
• 发送 WebSocket 消息以检索敏感数据。
• 有时，只是等待包含敏感数据的传入消息到达。

实验室-从业者

跨站点WebSocket劫持 >>

- name: 实验室-从业者
  desc: 跨站点WebSocket劫持 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/websockets/cross-site-websocket-hijacking/lab
  bgColor: '#001350'
  textColor: '#4cc1ff'

1
2
3
4
5
6