博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
浏览器因cookie设置HttpOnly标志引起的安全问题
阅读量:5077 次
发布时间:2019-06-12

本文共 2274 字,大约阅读时间需要 7 分钟。

  1、简介

  如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的 原因。但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的,那么这里面就有文章可 做了,因为已证明有些的HttpOnly标记可以被JavaScript写入覆盖,而这种覆盖可能被攻击者利用发动 fixation攻击。本文主题就是讨论这种技术。

  2、用JavaScript覆盖cookie中的HttpOnly标志

  当JavaScript可以覆盖cookie中的HttpOnly标志时,攻击者如果发站的XSS漏洞,就可以利用HttpOnly cookie发动session fixation攻击(更多关于session fixation攻击的内容可以参考笔者之前的文章[1])。

  session fixation攻击的后果是攻击者可以冒充受害者,因为其知道受害者的session ID。这里假设当成功登录应用后session不会重新生成。现实也确实是这样的,但浏览器不应该允许JavaScript覆盖HttpOnly标志,因 为这种覆盖可能与某些应用程序登录成功后不会重新生成会话这一特性结合,发动session fixation攻击。

  那么登录成功后如果重新生成session ID的话安全性是怎么样的呢?还能被攻击者利用吗?登录之后,攻击者通过设置用户的session为攻击者正在使用的session,将用户切换为攻击者 自己的帐户。受害者以为其正在使用自己的帐户,实际上一些敏感信息已经泄露给攻击者了。

  3、允许JavaScript覆盖HttpOnly cookie的浏览器

  经笔者证实,以下浏览器允许JavaScript覆盖HttpOnly cookies:

  Safari

   Mobile

  Opera Mini

  BlackBerry browser

  Konqueror browser

  该问题已经(于2014年2月14日)提交给相应的厂商。

  IE、Firefix和Opera(标准安装版本)不容易受到上述攻击影响。

  4、厂商的回复

  Opera公司已经确认该问题在Opera Mobile和中存在,决定在Opera Mini中修复该问题(修复日期还未确定)。尽管Opera Mobile当前在中可以下载,但Opera公司认为该版本已经过时,因此决定不对其进行修改(他们建议替换为Opera for版本,该版本可以防止JavaScript覆盖HttpOnly cookie)。

  公司回复说已经宣布于2014年4月后不再对PlayBook Tablet的(笔者当时测试时使用的系统)进行支持,因此不会修复该问题。但是由于该问题是在支持结束声明之前提交的,他们决定将我加入到黑莓安全事件响应小组的感谢名单中(根据他们的规定,笔者的名字会在2014年4月底才会被加入)[2]。

  Konqueror确认了该问题,但可能不会去修复。该bug的信息可以在KDE Bugtracking系统中找到[3]。

  该问题两个月前提交给了公司,但从未收到任何反馈。

  5、漏洞利用

  以下是部分示例代码:

  setcookie('cookie1',++$_COOKIE['cookie1'],time()+2592000,'/','',0,1);

  setcookie('cookie2',++$_COOKIE['cookie2'],time()+2592000,'/','',0,0);

  ?>  setcookie('cookie1',++$_COOKIE['cookie1'],time()+2592000,'/','',0,1);

  setcookie('cookie2',++$_COOKIE['cookie2'],time()+2592000,'/','',0,0);

  >  setcookie('cookie1',++$_COOKIE['cookie1'],time()+2592000,'/','',0,1);

  setcookie('cookie2',++$_COOKIE['cookie2'],time()+2592000,'/','',0,0);

  > 

  print "Cookie1:".$_COOKIE['cookie1']."<  print "Cookie1:".$_COOKIE['cookie1']."<  print "Cookie1:".$_COOKIE['cookie1']."

";

  print "Cookie2:".$_COOKIE['cookie2'];

  >

 

  过程如下:运行这段代码,之后可以看到cookie1(设置了HttpOnly标志)已经被JavaScript写入覆盖了。

  6、总结

  HttpOnly标志的引入是为了防止设置了该标志的cookie被JavaScript读取,但事实证明设置了这种cookie在某些浏览器 中却能被JavaScript覆盖,可被攻击者利用来发动session fixation攻击。该问题被提出后,得到了相关厂商的响应。最后,本文给出了一段利用演示代码。

转载于:https://www.cnblogs.com/milantgh/p/3766585.html

你可能感兴趣的文章
剑指offer系列6:数值的整数次方
查看>>
js 过滤敏感词
查看>>
poj2752 Seek the Name, Seek the Fame
查看>>
软件开发和软件测试,我该如何选择?(蜗牛学院)
查看>>
基本封装方法
查看>>
bcb ole拖拽功能的实现
查看>>
生活大爆炸之何为光速
查看>>
bzoj 2456: mode【瞎搞】
查看>>
[Typescript] Specify Exact Values with TypeScript’s Literal Types
查看>>
[GraphQL] Reuse Query Fields with GraphQL Fragments
查看>>
Illustrated C#学习笔记(一)
查看>>
理解oracle中连接和会话
查看>>
两种最常用的Sticky footer布局方式
查看>>
Scrapy实战篇(三)之爬取豆瓣电影短评
查看>>
HDU 5510 Bazinga KMP
查看>>
[13年迁移]Firefox下margin-top问题
查看>>
Zookeeper常用命令 (转)
查看>>
Java程序IP v6与IP v4的设置
查看>>
RUP(Rational Unified Process),统一软件开发过程
查看>>
数据库链路创建方法
查看>>