曾德愚

摘要： WebSocket使浏览器提供对Socket的支持，在客户端和服务器之间提供基于单TCP连接的双向通道，常用于实时性要求较高的场合，例如证券行情、在线互动游戏及设备同步等方面。但由于架构设计原因，WebSocket也存在不少安全问题，有些漏洞将导致极大的破坏，本文就危害较大的跨站WebSocket劫持漏洞进行原理分析，提出检测及修复方法。

关键词：WebSocket 漏洞 修复

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2016）09-0198-01

1 序言

在WebSocket高效解决信息实时同步问题之前，一般采用轮询Polling和 Comet技术，不光造成设计复杂，同时带来系统额外负载。WebSocket较好地解决了此类问题。虽然WebSocket协议在最初设计的时候就充分考虑了安全保障，但任何软件产品都不可能十全十美，随着其被广泛使用，诸如Wireshark漏洞、Asterisk WebSocket Server DoS漏洞、特别是OpenStack Nova console WebSocket漏洞等安全问题出现，引起了业界对危害较大的跨站WebSocket劫持漏洞的关注。

WebSocket是持久化协议，提供全双工连接，基于TCP实现消息流，基于HTTP协议进行握手协议连接。在浏览器向服务器端申请切换到WebSocket协议之后，如果服务器端返回101响应，则服务器端基于相同端口完成协议切换，浏览器和服务器端之间可使用WebSocket API传输文本和二进制消息。

2 漏洞原理

在创建全双工通信的过程中，客户端基于HTTP握手切换到WebSocket协议，在握手Get请求中，Cookie头部把域名下的Cookie全部发送到服务器端，由于WebSocket协议没有规定服务器在握手阶段认证客户端身份的手段，所以服务器可采用任何身份认证机制，因此给黑客伪造握手请求绕过身份认证提供了极大可能，从而实现跨站请求伪造攻击。

例如，某用户被引导访问到在某元素中植入了WebSocket握手请求申请跟目标应用建立WebSocket连接的恶意网页，则自动发起连接请求，如果服务器端没有增加Origin检查机制，则该请求将切换到WebSocket协议，恶意网页不通过身份认证即连接至WebSocket服务器，实现窃取或修改服务器端信息。

3 漏洞检测

可以通过重发WebSocket协议转换请求来检测服务器端是否存在相关漏洞，原理在于使用能拦截WebSocket握手请求的软件，首先修改请求中的Origin头信息，然后重新发送请求，如果服务器返回101响应，则说明服务器端没有执行相关检查，如果没有返回101响应，则说明服务器端拒绝来自不同源的连接请求，则可认为是安全的。

本文采用开源OWASP ZAP软件拦截WebSocket握手请求及WebSocket消息通信，修改Origin后重发请求，如果连接成功后，则重发WebSocket客户端消息确认漏洞。

具体过程为在浏览器中配置ZAP代理后访问WebSocket应用，请求头部如有HTTP Basic Authorization信息则表示登录成功；重发WebSocket协议升级请求，将Origin修改为任意网址并发送；在响应标签中如服务器端返回101信息则说明协议握手成功；再重发WebSocket消息进一步确认漏洞，如ZAP收到两条服务器返回消息则可确定应用站点存在跨站WebSocket劫持漏洞。

4 漏洞修复

跨站WebSocket劫持漏洞危害较大，它既可以修改服务器数据，还可以控制读取及修改双向通道，比通过恶意网页发起数据修改请求，但不会导致信息泄漏的跨站请求伪造攻击CSRF危害更大。

本文提出在服务器端代码中增加Origin检查机制修复漏洞，如果浏览器发送的Origin信息来源不同，则服务器端拒绝请求并发回拒绝连接403错误。

可以使用Java EE提供的允许开发人员重写配置用来拦截检查协议握手过程的配置器，继承并重写checkOrigin方法，参考代码如下。

单纯的Origin检查不够全面，如果WebSocket客户端是非浏览器，则客户端请求无Origin，在此情形下可以借鉴CSRF的令牌机制进一步增强安全性，因篇幅原因，本文不予深入讨论。

参考文献

[1]何健.深入理解跨站点WebSocket劫持漏洞的原理及防范.2016（05）：10.