某些浏览器中因cookie设置HttpOnly标志引起的安全问题


发布人:admin分类:网络安全浏览量:33发布时间:2017-12-12

1、简介

如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的,那么这里面就有文章可做了,因为已证明有些浏览器的HttpOnly标记可以被JavaScript写入覆盖,而这种覆盖可能被攻击者利用发动session fixation攻击。本文主题就是讨论这种技术。

2、用JavaScript覆盖cookie中的HttpOnly标志

当JavaScript可以覆盖cookie中的HttpOnly标志时,攻击者如果发现网站的XSS漏洞,就可以利用HttpOnly cookie发动session fixation攻击(更多关于session fixation攻击的内容可以参考笔者之前的文章[1])。

session fixation攻击的后果是攻击者可以冒充受害者,因为其知道受害者的session ID。这里假设当成功登录应用后session不会重新生成。现实也确实是这样的,但浏览器不应该允许JavaScript覆盖HttpOnly标志,因为这种覆盖可能与某些应用程序登录成功后不会重新生成会话这一特性结合,发动session fixation攻击。

那么登录成功后如果重新生成session ID的话安全性是怎么样的呢?还能被攻击者利用吗?登录之后,攻击者通过设置用户的session为攻击者正在使用的session,将用户切换为攻击者自己的帐户。受害者以为其正在使用自己的帐户,实际上一些敏感信息已经泄露给攻击者了。

3、允许JavaScript覆盖HttpOnly cookie的浏览器

经笔者证实,以下浏览器允许JavaScript覆盖HttpOnly cookies:

Safari
Opera Mobile
Opera Mini
BlackBerry browser
Konqueror browser

该问题已经(于2014年2月14日)提交给相应的厂商。

IE、Firefix和Opera(标准安装版本)不容易受到上述攻击影响。

4、厂商的回复

Opera公司已经确认该问题在Opera Mobile和Opera Mini中存在,决定在Opera Mini中修复该问题(修复日期还未确定)。尽管Opera Mobile当前在Google Play中可以下载,但Opera公司认为该版本已经过时,因此决定不对其进行修改(他们建议替换为Opera for Android版本,该版本可以防止JavaScript覆盖HttpOnly cookie)。

黑莓公司回复说已经宣布于2014年4月后不再对PlayBook Tablet的操作系统(笔者当时测试时使用的系统)进行支持,因此不会修复该问题。但是由于该问题是在支持结束声明之前提交的,他们决定将我加入到黑莓安全事件响应小组的感谢名单中(根据他们的规定,笔者的名字会在2014年4月底才会被加入)[2]。

Konqueror确认了该问题,但可能不会去修复。该bug的信息可以在KDE Bugtracking系统中找到[3]。

该问题两个月前提交给了苹果公司,但从未收到任何反馈。

5、漏洞利用

以下是部分示例代码:

<?
setcookie('cookie1',++$_COOKIE['cookie1'],time()+2592000,'/','',0,1);
setcookie('cookie2',++$_COOKIE['cookie2'],time()+2592000,'/','',0,0);
?>
 
<HTML>
 
<?
print "Cookie1:".$_COOKIE['cookie1']."<br>";
print "Cookie2:".$_COOKIE['cookie2'];
?>
 
<script>alert(document.cookie);</script>
 
<script>document.cookie='cookie1=100;expires=Thu, 2 Aug 2014 20:00:00 UTC; path=/';</script>
 
</HTML>

过程如下:运行这段代码,之后可以看到cookie1(设置了HttpOnly标志)已经被JavaScript写入覆盖了。

6、总结

HttpOnly标志的引入是为了防止设置了该标志的cookie被JavaScript读取,但事实证明设置了这种cookie在某些浏览器中却能被JavaScript覆盖,可被攻击者利用来发动session fixation攻击。该问题被提出后,得到了相关厂商的响应。最后,本文给出了一段利用演示代码。

参考:

[1] Understanding Session Fixation

http://resources.infosecinstitute.com/understanding-session-fixation/ (access date: 4 April 2014)

[2] Acknowledgements 2014 –BlackBerry Security Incident Response Team

http://ca.blackberry.com/business/topics/security/incident-response-team/collaborations.html

(access date: 4April 2014)

[3] KDE Bugtracking System – BypassingHttpOnly cookie in Konqueror

https://bugs.kde.org/show_bug.cgi?id=330751 (access date: 4 April 2014)

[via infosecinstitute]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21416616(PV) 页面执行时间:80.709(MS)
  • xml
  • 网站地图