MVVM framework security

1. WEB 前端安全
——从 MVVM 框架说起

2. WEB 安全的最大敌人
XSS（Cross-site Scripting）
2
1.

3. “
3
31.80%
22.30%
7.80%
4.60%
4.50%
4.20%
3.80%
3.50%
3.00%
2.90%
11.80%
2016 年 TOP10 漏洞比例分布
XSS
信息泄露类
权限控制
后台弱密码
SSRF
逻辑设计缺陷
安全性误配置
可执行漏洞
暴力破解

4. 4怎么对付 XSS
保护 Cookie
• HttpOnly
• Secure
设置请求头
• CSP
• X-XSS-Protection
过滤
• < >
• script onerror
转义
• escape()
• HTMLEncode()
十八般武艺齐上阵

5. 5事情好像没有那么简单
编码
• URL encode
• Unicode
其他
• window.name
• ES6 feature
（alert`1`）
• iframe
字符集
• ISO-2022-JP
• UTF-7
关键字
• scrscriptipt
• String.fromCharcode()
• location.hash
各种花式绕过技巧

6. MVVM
自动编码输出
天生预防 XSS 和 CSRF
6
Angular、React、Vue …

7. 正确使用 MVVM 框架
模板注入（Client-Side Template Injection）
7
2.

8. Flask 用的 Jinja2 模板引擎
什么是模板注入 8
@app.errorhandler(404)
def page_not_found(e):
template = '''{%% extends "layout.html" %%}
{%% block body %%}
<div class="center-content error">
<h1>Oops! That page doesn't exist.</h1>
<h3>%s</h3>
</div>
{%% endblock %%}
''' % (request.url)
return render_template_string(template), 404

9. 9
发生了什么？
模板引擎计算了数学表达式
7 + 7 = 14
然后将结果输出到了页面上
如果换成 {{ config.items() }} 呢？
127.0.0.1:5000/invalid{{ 7+7 }}

10. “
10
不能将用户输入直接作为模版内容的一部分

11. 用 AngularJS 举个栗子🌰 11
<html>
<head>
<meta charset="utf-8">
<script
src="https://ajax.googleapis.com/ajax/libs/angular
js/1.4.6/angular.js"></script>
</head>
<body>
<div ng-app>{{ 7+7 }}</div>
</body>
</html>
» 直接生成前端模板
» {{ 7 + 7 }}
» AngularJS 解析和执行
» 输出 14
» 那如果换成 {{ alert(1) }} 会咋
样？

12. AngularJS 里的沙箱
什么都没发生，
源码里连 alert 都不见了 ！
12

13. AngularJS 里的沙箱
Sandbox
对模板和表达式进行检查、过滤、解析、重写
» ensureSafeMemberName
» ensureSafeObject
» ensureSafeFunction
沙箱这么厉害，那还担心什么呢？
13

14. AngularJS 里的沙箱
绕过
从 1.0.1 版开始
再次绕过
1.6 以下的每个版本
废除沙箱
1.6 版本开始
14

15. 框架的安全机制不是万能的
严格遵守开发文档，提防用户的输入
15

16. 危险的模板和表达式 16
有多种方法可以控制模板和表达式
表达式在解析时包含用户提供的内容：
» $compile(userContent)
» $parse(userContent)
» $interpolate(userContent)
表达式中使用管道时条件包含用户提供的内容：
» {{ value | orderBy : userContent }}
在生成 AngularJS 模板时包含用户提供的内容。
表达式时在调用下面的方法时包含用户提供的内容：
» $watch(userContent, ...)
» $watchGroup(userContent, ...)
» $watchCollection(userContent, ...)
» $eval(userContent)
» $evalAsync(userContent)
» $apply(userContent)
» $applyAsync(userContent)

17. 危险的模板和表达式 17
» 不要混合客户端和服务器模板。
» 不要使用用户输入动态生成模板。
» 不要使用之前列出的表达式函数运行用户输入
如果必须在 AngularJS 模板中使用用户提供的内容，
需要确保它在通过 ngNonBindable 指令明确指定了不编译的模板部分中。

18. 正确使用 MVVM 框架
在 DOM 中插入 HTML 及使用第三方库
18
3.

19. 向 DOM 中插入 HTML 19
错误做法（一）
关闭自动转义
// Within the controller
// Disables strict auto escaping
$sce.enabled(false);
$scope.html = "Hello <b>" + userInput +
"</b>!";
// Within the view
<div>{{html}}</div>

20. 向 DOM 中插入 HTML 20
错误做法（二）
使用 element.html() 插入 HTML
// Within the controller
angular.element(someElement)
.html("Hello <b>" + userInput + "</b>!")

21. 向 DOM 中插入 HTML 21
错误做法（三）
使用 ngBindHtml + trustAsHtml
// Within the controller
$scope.html = $sce.trustAsHtml("Hello <b>"
+ userInput + "</b>!");
// Within the view
<div>{{html}}</div>

22. 向 DOM 中插入 HTML 22
错误做法（四）
使用 ngBindHtml + trustAsHtml
然后自己写 XSS 过滤函数
// Within the controller
var escapedUserInput =
escapeForHtml(userinput);
$scope.html = $sce.trustAsHtml("Hello <b>"
+ escapedUserInput + "</b>!");
// Within the view
<div>{{html}}</div>

23. 向 DOM 中插入 HTML 23
正确做法
使用 ngBindHtml + sanitizer
<body>
<script src="../1.5.7/angular.js"></script>
<script src="../1.5.7/angular-sanitize.js"></script>
<div ng-app="myApp" ng-controller="myCtrl">
<p ng-bind-html="html"></p>
</div>
<script>
var userInput = 'test<svg/onload=alert(1)>';
var myApp = angular.module('myApp', ["ngSanitize"]);
var controller = myApp.controller('myCtrl',
function($scope) {
$scope.html = "Hello <b>" + userInput + "</b>!"
});
</script>
</body>

24. 混用第三方库时的风险 24
开发时往往会用到很多第三方库
单独使用时可能没有漏洞，
但与 AngularJS 混合使用时就出现
问题了。
<script>
// A non angular-related library.
// Secure without Angular. Insecure with
Angular.
document.write(escapeForHTML(userInput));
</script>
<script
src="../angularjs/1.5.7/angular.min.js"></script>

25. 混用第三方库时的风险 25
» EscapeForHTML 常见转义函数
» userInput 用户输入
» 没有引入 Angular 时一切正常
» 引入 Angular 后
» 输入沙箱绕过的 Payload
» BOOM！
<body><div ng-app>
<script>
function escapeForHTML(unsafe) {
return unsafe
.replace(/&/g, "&amp;")
.replace(/</g, "&lt;")
.replace(/>/g, "&gt;")
.replace(/"/g, "&quot;")
.replace(/'/g, "&#039;");
}
var userInput = '{{x = {"y":"".constructor.prototype};
x["y"].charAt=[].join;$eval("x=alert(1)");}}';
document.write(escapeForHTML(userInput));
</script></div>
<script src="../angularjs/1.5.7/angular.js"></script>
</body>

26. “
26
复制粘贴网上的代码时要留心

27. 正确使用 MVVM 框架
资源 URL 黑白名单
27
4.

28. AngularJS 校验 URL 的方式 28
» $sceDelegateProvider.resourceUrl(White|Black)list([list])
» 默认只能访问同一域名下的资源
» 有三种校验方式：’self’, String 和 Regxes（正则）
» 其中 String 支持两种通配符：
* ：匹配除 : / . ? & 和 ; 之外的任意数量字符
**：匹配所有的字符

29. AngularJS 校验 URL 的方式 29
错误做法（一）
在协议处使用通配符
// Whitelist all possible schemes
"**://example.org/*"
● Exploit 1:
http://evil.com/?ignore=://example.org/a
● Exploit 2:
javascript:alert(1);//example.org/a
// Less permissive, but still bad
"*://example.org/*"
● Exploit 1:
javascript://example.org/a%0A%0Dalert(1)
注释 换行

30. AngularJS 校验 URL 的方式 30
错误做法（二）
在域名里使用 ** 通配符
// Whitelist all possible subdomains
"https://**.example.org/*"
● Exploit 1:
https://evil.com/?ignore=://example.org/a
// Whitelist all possible top level domains
"https://example.**"
● Exploit 1:
https://example.evil.com
● Exploit 2:
https://example.:foo@evil.com

31. AngularJS 校验 URL 的方式 31
错误做法（三）
使用正则表达式
// Use a RegEx to whitelist a domain
/http://www.example.org/g
● Exploit 1:
// (dots are not escaped)
http://wwwaexample.org
● Exploit X:
All the wildcard-based exploits can be
applied as well

32. AngularJS 校验 URL 的方式 32
结论
» 尽量不要使用正则表达式
» 不要在协议中使用通配符
» 不要在域名中使用 **
» 只在子域名和网站路径中使用 *
» 最好的方式是仅列出特定的 URL 作为白名单

33. 正确使用 MVVM 框架
前端工程的新问题
33
5.

34. Webpack 打包 34

35. SourceMap 的隐患 35

36. SourceMap 的隐患 36

37. 37
解决办法
» 线上环境删除 SourceMap
» 前端工程打包时配置按需加载
» 对于既有用户界面又有后台管理界面的应用，不要做成一个 SPA
» RESTful 接口权限验证，使用 JWT

38. 38

39. 如何写出安全的应用
遵循规范熟读文档 从容细心
39

40. Any questions?
联系方式：
» YjByZ0BxcS5jb20=
» https://0x0d.im
40THANKS!