0x01 简介
大家好,今天和大家讨论的是自定义协议,在很多应用中,除了支持 http(s)、file、ftp等开放的通用标准协议外,还会支持一些自定义协议,自定义协议常被用于实现特殊功能,比如深度集成应用程序与特定的网络服务、提升用户体验或实现安全的数据交换。
例如 vscode 就注册了 vscode: 协议,在浏览器中输入 vscode://xxx 就会唤醒 vscode
这就属于在系统层面全局注册了自定义的 vscode:协议
在一些应用程序中,我们发现,调用资源不都是 http(s)、file 这种,尤其像是加载插件之类的操作,内部用的也是类似于 vscode: 这种协议,这种就属于应用内注册自定义协议
今天的内容也是围绕着这两种情况进行讨论
公众号开启了留言功能,欢迎大家留言讨论~
这篇文章也提供了 PDF 版本及 Github ,见文末
-
0x01 简介
-
0x02 程序内部注册自定义协议
-
1. 效果展示
-
2. 注册协议到特定 session
-
3. protocol 模块的方法
-
0x03 全局注册自定义协议
-
1. 效果展示
-
2. app.setAsDefaultProtocolClient
-
3. app.removeAsDefaultProtocolClient
-
4. app.isDefaultProtocolClient
-
5. app.getApplicationNameForProtocol
-
6. app.getApplicationInfoForProtocol
-
0x04 漏洞案例
-
0x05 总结
-
0x06 PDF 版 & Github
-
往期文章
0x02 程序内部注册自定义协议
1. 效果展示
官方给了一个案例,让我们可以注册一个和 file 协议相同效果的协议
const { app, protocol, net } = require('electron')
app.whenReady().then(() => {
protocol.handle('atom', (request) =>
net.fetch('file://' + request.url.slice('atom://'.length)))
})
这里是注册了一个 atom 协议,我们修改为 nopteam 协议,嘿嘿
const { app, protocol, net } = require('electron')
app.whenReady().then(() => {
protocol.handle('nopteam,', (request) =>
net.fetch('file://' + request.url.slice('nopteam://'.length)))
})
在渲染页面的 JavaScript 中使用 nopteam:// 协议
在 HTML 标签内使用 nopteam:// 协议
但只限于程序内容,在浏览器中输入 nopteam:///etc/passwd 并不可以打开我们的程序
2. 注册协议到特定 session
如果我们想将自定义的协议注册到特定的 session ,而不是默认的,可以使用以下代码
const { app, BrowserWindow, net, protocol, session } = require('electron')
const path = require('node:path')
const url = require('url')
app.whenReady().then(() => {
const partition = 'persist:example'
const ses = session.fromPartition(partition)
ses.protocol.handle('atom', (request) => {
const filePath = request.url.slice('atom://'.length)
return net.fetch(url.pathToFileURL(path.join(__dirname, filePath)).toString())
})
const mainWindow = new BrowserWindow({ webPreferences: { partition } })
})
这里涉及两个概念, session 和 partition
Partition: 分区(Partition)是一种机制,用于将不同部分的应用数据隔离开来。每个分区都有其独立的Cookies、本地存储(localStorage)、IndexedDB等数据存储空间。
当你创建一个新的BrowserWindow或者WebContents时,可以通过指定partition参数来决定这个新窗口或页面的数据是否与其他窗口共享,或者是否持久化存储。
-
当你设置 partition:'persist:name'时,Electron 会为该窗口创建一个持久化的分区,即使应用重启,这个分区中的数据(如Cookie)也会被保留。 -
如果不指定或者使用 partition:''(空字符串),则使用一个临时的、匿名的分区,关闭窗口后相关数据会被清除
Session: 会话(Session)在 Electron 中是一个更高级的概念,它代表了一组配置和行为,用于控制网络请求、缓存策略、Cookie管理等。一个Session可以有自己的存储、Cookie和其他设置,并且可以被多个WebContents共享。
-
创建Session: 你可以通过 session.fromPartition()方法创建一个基于特定分区名的Session实例,或者直接使用session.defaultSession来获取应用的默认Session。 -
控制行为: Session允许你控制例如是否允许使用缓存、是否发送Referer头、代理设置等网络行为,以及管理权限、证书等安全相关的方面。
这样上述代码就比较好理解了
3. protocol 模块的方法
1) registerSchemesAsPrivileged
protocol.registerSchemesAsPrivileged(customSchemes)
注意. 此方法只能在 app 的 ready 事件触发前调用,且只能调用一次
此方法用来对我们自定义协议(scheme)进行配置,可以注册为一个标准、安全、允许注册 ServiceWorker、支持获取API、流视频/音频和V8代码缓存的协议
示例代码如下
const { protocol } = require('electron')
protocol.registerSchemesAsPrivileged([
{ scheme: 'foo', privileges: { bypassCSP: true } }
])
CustomScheme 对象的内容结构如下
-
scheme字符串 – 自定义的计划,可以被按选项注册。 -
privilegesObject (可选) -
standardboolean (可选) 默认为false是否注册为标准协议
-
secureboolean (可选) – 默认为false是否被视为安全协议,意味着它可以请求HTTPS资源而不会触发混合内容警告,并且在Web内容中可能不受同源策略的某些限制
-
bypassCSPboolean (可选) – 默认为false如果设为
true,则该协议下的资源可以绕过页面的Content Security Policy (CSP) 策略限制,这在某些特定场景下可能有用,但也可能带来安全风险 -
allowServiceWorkersboolean (可选) – 默认为false允许在该协议下注册和使用Service Workers
-
supportFetchAPIboolean (可选) – 默认为false启用后,允许在该协议下通过
fetchAPI进行网络请求,这对于现代Web应用中异步数据获取非常重要 -
corsEnabledboolean (可选) – 默认为false启用跨源资源共享(CORS),允许该协议下的资源被其他源的Web页面请求,这对于跨域数据交换是必需的
-
streamboolean (可选) – 默认为 false如果设为
true,则支持通过流(Streams)来传输数据,这在处理大文件或连续数据时可以提高效率和响应性 -
codeCacheboolean (可选) – 默认为 false启用支持 v8 代码缓存,只有在
standard被设置为 true 时有效
标准scheme遵循 RFC 3986 所设定的 URI泛型语法 。例如, http 和 https 是标准协议, 而 file 不是
按标准将一个scheme注册, 将保证相对和绝对资源在使用时能够得到正确的解析。否则, 该协议将表现为 file 协议, 而且,这种文件协议将不能解析相对路径
例如, 当您使用自定义协议加载以下内容时,如果你不将其注册为标准scheme, 图片将不会被加载, 因为非标准scheme无法识别相对 路径:
<body>
<img src='test.png'>
</body>
注册一个scheme作为标准scheme将允许其通过FileSystem 接口访问文件。否则, 渲染器将会因为该scheme,而抛出一个安全性错误。
在非标准 schemes 下,网络存储 Api (localStorage, sessionStorage, webSQL, indexedDB, cookies) 默认是被禁用的。所以一般来说如果你想注册一个自定义协议来替换http协议,你必须将其注册为标准 scheme:
如果 Protocols 需要使用流 (http 和 stream 协议) 应设置 stream: true。<video> 和 <audio> HTML 元素默认需要协议缓冲其响应内容。stream 标志将这些元素配置为正确的流媒体响应
2) handle
这个方法用来注册协议,并关联协议处理程序
protocol.handle(scheme, handler)
-
scheme协议名,例如https不包含 -
handler协议处理程序,是一个协议处理函数
当Electron遇到匹配到scheme的URL请求时 handler会被调用。这个函数接收一个request对象作为参数,并且通常需要调用一个回调函数,返回值是一个 Promise<GlobalResponse>
request 对象具体结构参考
https://nodejs.org/api/globals.html#request
https://developer.mozilla.org/en-US/docs/Web/API/Request
response 对象具体结构参考
https://developer.mozilla.org/en-US/docs/Web/API/Response
官方案例如下
const { app, net, protocol } = require('electron')
const path = require('node:path')
const { pathToFileURL } = require('url')
protocol.registerSchemesAsPrivileged([
{
scheme: 'app',
privileges: {
standard: true,
secure: true,
supportFetchAPI: true
}
}
])
app.whenReady().then(() => {
protocol.handle('app', (req) => {
const { host, pathname } = new URL(req.url)
if (host === 'bundle') {
if (pathname === '/') {
return new Response('<h1>hello, world</h1>', {
headers: { 'content-type': 'text/html' }
})
}
// NB, this checks for paths that escape the bundle, e.g.
// app://bundle/../../secret_file.txt
const pathToServe = path.resolve(__dirname, pathname)
const relativePath = path.relative(__dirname, pathToServe)
const isSafe = relativePath && !relativePath.startsWith('..') && !path.isAbsolute(relativePath)
if (!isSafe) {
return new Response('bad', {
status: 400,
headers: { 'content-type': 'text/html' }
})
}
return net.fetch(pathToFileURL(pathToServe).toString())
} else if (host === 'api') {
return net.fetch('https://api.my-server.com/' + pathname, {
method: req.method,
headers: req.headers,
body: req.body
})
}
})
})
3) unhandle
protocol.unhandle(scheme)
这个就很好理解了,取消注册协议
4) isProtocolHandled
protocol.isProtocolHandled(scheme)
一个 scheme 是否被注册为了一个协议,就是看一个协议有没有被注册过
参考文章
https://www.electronjs.org/zh/docs/latest/api/protocol
0x03 全局注册自定义协议
程序内部协议只能在程序内部使用,如果我们注册一个 nopteam 协议,希望在浏览器里输入 nopteam://index?id=1 时不仅可以唤醒我们的应用,应用还可以获取到链接内容,并且根据实际内容进行对应处理
1. 效果展示
我们希望 id=1 的时候,主窗口渲染 1.html ,id=2 时,主窗口渲染 2.html
1.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<!-- https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<title>1.html</title>
</head>
<body>
<h1>I am 1.html !</h1>
</body>
</html>
2.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<!-- https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<title>2.html</title>
</head>
<body>
<h1>I am 2.html !</h1>
</body>
</html>
main.js
// Modules to control application life and create native browser window
const { app, BrowserWindow, ipcMain, shell, dialog } = require('electron/main')
const path = require('node:path')
const url = require('url')
let mainWindow
if (process.defaultApp) {
if (process.argv.length >= 2) {
app.setAsDefaultProtocolClient('nopteam', process.execPath, [path.resolve(process.argv[1])])
}
} else {
app.setAsDefaultProtocolClient('nopteam')
}
const gotTheLock = app.requestSingleInstanceLock()
if (!gotTheLock) {
app.quit()
} else {
app.on('second-instance', (event, commandLine, workingDirectory) => {
// Someone tried to run a second instance, we should focus our window.
if (mainWindow) {
if (mainWindow.isMinimized()) mainWindow.restore()
mainWindow.focus()
}
const parsedUrl = new URL(commandLine.pop())
const page_id = parsedUrl.searchParams.get('id')
let page_path
if (page_id === '1') {
page_path = '1.html'
} else if (page_id === '2') {
page_path = '2.html'
} else {
app.quit()
}
console.log(page_path)
mainWindow.loadFile(path.join(__dirname, page_path))
})
// Create mainWindow, load the rest of the app, etc...
app.whenReady().then(() => {
createWindow()
})
app.on('open-url', (event, url) => {
dialog.showErrorBox('Welcome Back', `You arrived from: ${url}`)
})
}
function createWindow () {
// Create the browser window.
mainWindow = new BrowserWindow({
width: 800,
height: 600,
webPreferences: {
preload: path.join(__dirname, 'preload.js')
}
})
mainWindow.loadFile(path.join(__dirname, 'index.html'))
}
app.on('window-all-closed', function () {
if (process.platform !== 'darwin') app.quit()
})
运行一次后,就会注册全局协议 nopteam ,之后在浏览器里输入 nopteam://index?id=1
当输入 nopteam://index?id=2 时
成功解析了我们的自定义 url
注册全局协议,主要使用app 模块的一些方法
2. app.setAsDefaultProtocolClient
将当前可执行文件的设置为协议(也就是 URI scheme) 的默认处理程序。该方法允许你将应用更深入地集成到操作系统中
app.setAsDefaultProtocolClient(protocol[, path, args])
-
protocol 协议名称,字符串类型 -
path 可选项, Electron执行路径,默认为process.execPath,仅在 Windows 平台有用 -
args 可选项,传递给可执行文件的参数,默认是一个空数组,仅在 Windows 平台有用
注意: 在 macOS 上,您只能注册已添加到应用程序的 info.plist 中的协议,这个列表在运行时不能修改。然而,你可以在构建时通过 Electron Forge, Electron Packager, 或通过文本编辑器编辑info.plist文件的方式修改
3. app.removeAsDefaultProtocolClient
此方法检查当前可执行程序是否是协议(也就是URI scheme) 的默认处理程序。如果是,则会将应用移除默认处理器
app.removeAsDefaultProtocolClient(protocol[, path, args])
4. app.isDefaultProtocolClient
当前可执行程序是否是协议(也就是URI scheme) 的默认处理程序
app.isDefaultProtocolClient(protocol[, path, args])
5. app.getApplicationNameForProtocol
此方法返回URL协议(也就是URI scheme) 的默认处理器的应用程序名称
app.getApplicationNameForProtocol(url)
-
url 要检查的协议名称的 URL,不同于家族中的其他方法,该方法接收至少包含 ://(例如:https://)的完整URL
不同平台值可能不完全相同
6. app.getApplicationInfoForProtocol
此方法返回包含应用程序名称,图标和默认协议处理器路径(也就是URI scheme) 的Promise
app.getApplicationInfoForProtocol(url)
-
urlstring – 要检查的协议名称的 URL。不同于家族中的其他方法,该方法接收至少包含://(例如:https://)的完整URL
返回 Promise<Object> – resolve 包含以下内容的 object:
-
iconNativeImage – 处理协议的应用程序的显示图标。 -
pathstring – 处理协议的应用程序的安装路径。 -
namestring – 处理协议的应用程序的显示名称。
参考文章
https://www.electronjs.org/zh/docs/latest/tutorial/launch-app-from-url-in-another-app
https://www.electronjs.org/docs/latest/api/app#appsetasdefaultprotocolclientprotocol-path-args
0x04 漏洞案例
这种注册自定义协议具体实现方法不同程序不一致,所以在做安全检查时,也需要根据实际情况,接下来列举几个曾经在注册自定义协议方面出现的问题
需要注意的是,外部引用的安全防护代码可能不会针对自定义协议进行防护,这也是造成很多漏洞的直接原因
CVE-2018-1000006
这个漏洞是个Windows 平台独有的漏洞,在注册全局协议时,用户可以控制 URL,打开特定的 URL 时,URL中的一部分可能会闭合处理程序的语法,导致另一部分成为传递给处理程序的参数,配合 Chromium 的一些特殊参数,最终导致命令执行,下方参考链接中先知社区的文章对其分析得比较好,建议观看
参考文章
https://www.electronjs.org/blog/protocol-handler-fix
https://xz.aliyun.com/t/1994?time__1311=n4%2Bxni0QDQdYqDvPBKDsL3ObDcBIKKriTo4D&alichlgref=https%3A%2F%2Fwww.google.com%2F
https://blog.doyensec.com/2018/05/24/electron-win-protocol-handler-bug-bypass.html
typora (CVE-2023-2317)
https://xz.aliyun.com/t/12822?time__1311=mqmhq%2BxfxIhGkDlxGo%2Bzd4Dv5TNDjETD&alichlgref=https%3A%2F%2Fwww.google.com%2F
低于1.67版本的Typora存在代码执行漏洞,通过在标签中加载typora://app/typemark/updater/update.html实现在Typora主窗口的上下文中运行任意JavaScript代码
0x05 总结
注册自定义协议通常用来实现特殊功能,比如深度集成应用程序与特定的网络服务、提升用户体验或实现安全的数据交换、插件等
自定义协议关联的处理程序几乎没有特别多的共性,完全由需求决定,因此可能会由于不够健硕的代码而带来一些安全风险,这部分漏洞的挖掘需要对 protocol 和 app 模块的相关方法进行分析,查找攻击的可能
0x06 PDF 版 & Github
PDF 版
https://pan.baidu.com/s/1d6gSFG9DPP_oZlpRZdOztw?pwd=am8x
Github
https://github.com/Just-Hack-For-Fun/Electron-Security
往期文章
原文始发于微信公众号(NOP Team):自定义协议 | Electron 安全
