另类旁站攻击技术讨论及安全应对措施

今天在wzone中看到一篇文章,讨论另类旁站攻击技术,主要意思是将本来难以攻破的目标转为其他目标,跟旁站攻击道理一致,只不过方法比较冷门且新颖。

这种方法就是将攻击转向网站被引入JS/CSS的网站,即A网站引入了B网站的JS/CSS,入侵B网站,篡改JS即可XSS A网站。

附第三方网站资源引入自动查询脚本:

for(var i=0,tags=document.querySelectorAll('iframe[src],frame[src],script[src],link[rel=stylesheet],object[data],embed[src]'),tag;tag=tags[i];i++){ 
var a = document.createElement('a'); 
a.href = tag.src||tag.href||tag.data; 
if(a.hostname!=location.hostname){ 
  console.warn(location.hostname+' 发现第三方资源['+tag.localName+']:'+a.href); 

} 
}

wooyun-src

感谢@Black-Hole 提供的思路

下面看一下如何防护:

针对这个问题,以后网站在引入资源文件的时候一定要慎重又慎重!不要引入小厂商的资源,不要过分相信其他厂商的资源。

应对措施:

1)基于不知情的防护措施,将要引入的网站在本网站做一个代理,使得被引入资源的地址不被直接暴露

2)直接把相应的资源文件放到本网站上

3)定时对被引入网站的资源文件进行篡改检测,如果被篡改,则修正引入资源。

由于许多CDN问题,需要引入其他网站资源,所以我认为第三种方法是比较合适的方法;可以在一定程度上减少危害性。