Ist es möglich, ein XSS-Angriff zu erhalten Httponly-Cookies?
https://stackoverflow.com/questions/228138
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
diesem Blog-Post über Httponly-Cookies mich denken beginnen gemacht, ist es möglich, dass ein Httponly-Cookies, um durch jede Form von XSS erhalten werden? Jeff erwähnt, dass es „die Messlatte deutlich erhöht“, sondern macht es klingen wie es nicht vollständig gegen XSS zu schützen.
Abgesehen von der Tatsache, dass nicht alle Browser-Unterstützung ordnungsgemäß diese Funktion, wie könnte ein Hacker einen Benutzers Cookies erhalten, wenn sie Httponly?
Ich kann nicht von irgendeiner Weise denkt, einen Httponly-Cookie selbst an einem anderen Ort zu machen senden oder per Skript gelesen werden, so scheint es, wie dies ein sicheres Sicherheitsmerkmal ist, aber ich bin immer wieder erstaunt, wie leicht manche Leute können viele Sicherheitsschichten umgehen.
In der Umgebung, die ich in Arbeit verwenden wir IE ausschließlich so andere Browser kein Problem sind. Ich bin auf der Suche speziell für andere Möglichkeiten, dies zu einem Problem werden könnten, die auf Browser-spezifische Fehler beruhen nicht.
Lösung
Zuerst wird, wie einige andere erwähnt, XSS können zulassen, dass andere Nutzlasten, nicht nur Cookie Stehlen.
Aber ist es trotzdem zu stehlen Httponly-Cookies, mit XSS? (Ohne Berücksichtigung der Frage der Httponly-Unterstützung?) ....
Die Antwort lautet: Ja
.
Eine Untergruppe von XSS ist bekannt als Cross-Site Tracing (XST) (oder gehen Sie auf die Original Forschungsarbeit ). Dieser Angriff hat XSS- Payload einen HTTP TRACE-Anforderung an den Web-Server senden (oder proxy , EINSCHLIESSLICH Cookies, Httponly oder nicht - vorwärts oder rückwärts), die zurück an den Client die vollständige Anfrage wird echo. Die XSS-Nutzlast kann dann analysieren, um die zurück Info, und rufen Sie die leckeren Kekse ...
Btw, noch eine weitere „Teilmenge“ (ein bisschen) von XSS beinhaltet Nutzlast in Antwort-Header zu injizieren. Obwohl ähnlich, ist dies nicht genau XSS und Header-Injection kann sogar führen zu HTTP Response-Splitting (HRS) - die viel mächtiger ist, ermöglicht eine nahezu vollständige Kontrolle über andere Clients, Cache-Poisoning und natürlich Zugriff auf Cookies, wenn so gewünscht
.Andere Tipps
Wenn der Browser Httponly nicht versteht, gelingt es der Angriff Edit:. Okay, Sie sind nicht betroffen. Das ist in Ordnung, aber ich werde diese Mitteilung nur als Referenz lassen. Es ist nützlich, es ausdrücklich zu erwähnen.
Eine andere Möglichkeit, außer des Diebstahls das Netzwerk Sniffing direkte Kontrolle über den Computer des Benutzers sein würde. Dann können die Cookies aus einer Datei gelesen werden. Wenn es ein Session-Cookie ist, wird es natürlich entfernt werden, nachdem Browser geschlossen wird.
Durch die Art und Weise, Session-Cookie zu stehlen ist nicht die einzig mögliche „Nutzlast“ von XSS-Angriff. Zum Beispiel kann es Ihren CSRF Schutz nutzlos machen. Es kann Inhalte Ihrer Website verändern, um den Benutzer zu täuschen. Und viele andere bösartige Dinge.
Also besser schützen Sie sich in einer guten Art und Weise (Escape-Ausgang), und darüber nachdenken, wie Httponly zusätzliche Schicht Schutz.
Mit Httponly-Cookies wird verhindert, dass XSS-Angriffe aus diesen Cookies zu bekommen.
Es sei denn:
- Ihr Browser unterstützt keine Httponly
- gibt es eine bisher unbekannte Sicherheitslücke im Browser, der bricht Httponly
- der Server kompromittiert wurde (aber dann sind Sie wahrscheinlich abgespritzt sowieso).
Als ein weiteres Plakat festgestellt hat: XSS ist nicht die einzige Bedrohung gibt, und Cookies Grabbing ist nicht die einzige Bedrohung durch XSS. Ich bin sicher, dass Sie dies wissen - ich bin nur vollständig zu sein!
Viel Glück!
JavaScript, um die HTML-Datei auf der Seite ändern können daher Httponly macht nicht meinen Sie sicher sind gegen XSS.
Packet Sniffing können die Cookies übertragen über http lesen. Aber es kann nicht unter der XSS fallen.
