Может ли XSS-атака получить файлы cookie HttpOnly?
https://stackoverflow.com/questions/228138
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Чтение эта запись в блоге о файлах cookie HttpOnly заставило меня задуматься, возможно ли получить файл cookie HttpOnly с помощью любой формы XSS?Джефф упоминает, что это «значительно поднимает планку», но это звучит так, будто оно не полностью защищает от XSS.
Помимо того факта, что не все браузеры поддерживают эту функцию должным образом, как хакер может получить файлы cookie пользователя, если они HttpOnly?
Я не могу придумать какой-либо способ заставить файл cookie HttpOnly отправлять себя на другой сайт или читать скриптом, поэтому кажется, что это безопасная функция безопасности, но я всегда поражаюсь тому, как легко некоторые люди могут обойти многие уровни безопасности.
В среде, в которой я работаю, мы используем исключительно IE, поэтому другие браузеры нас не беспокоят.Я специально ищу другие способы, которыми это может стать проблемой, не зависящие от конкретных недостатков браузера.
Решение
Во-первых, как упоминали некоторые другие, XSS может разрешать другие полезные нагрузки, а не только кражу файлов cookie.
Но есть ли в любом случае украсть httpOnly куки, с XSS? (игнорируя вопрос поддержки httpOnly?) ....
Ответ: да.
Подмножество XSS известно как межсайтовая трассировка (XST) (или перейдите к оригинальная исследовательская статья ). Эта атака заставляет полезную нагрузку XSS отправлять HTTP-запрос TRACE на веб-сервер (или прокси-сервер , вперед или назад), который будет возвращать клиенту полный запрос - ВКЛЮЧАЯ ВАШЕ печенье, httpOnly или нет. Затем полезная нагрузка XSS может проанализировать возвращенную информацию и извлечь эти вкусные файлы cookie ...
Кстати, еще одно «подмножество» (своего рода) XSS, включает введение полезной нагрузки в заголовки ответа. Хотя это и похоже, это не точно XSS, а внедрение заголовка может даже привести к HTTP Разделение ответов (HRS) - оно гораздо более мощное, позволяет практически полностью контролировать других клиентов, отравлять кеш и, конечно, при желании получать доступ к файлам cookie.
Другие советы
Если браузер не понимает HttpOnly, атака будет успешной. Изменить: хорошо, вас это не касается. Это нормально, но я оставлю это уведомление только для справки. Полезно указать это явно.
Другим способом кражи помимо прослушивания в сети может быть непосредственное управление компьютером пользователя. Затем куки могут быть прочитаны из файла. Если это файл cookie сеанса, он, конечно, будет удален после закрытия браузера.
Кстати, кража файлов cookie сеанса - не единственная возможная "полезная нагрузка" XSS атаки. Например, это может сделать вашу защиту CSRF бесполезной. Это может изменить содержание вашего сайта, чтобы обмануть пользователя. И много других злых вещей.
Так что лучше защититесь, (выходной выход), и подумайте о HttpOnly как о дополнительном слое защиты.
Использование файлов cookie HttpOnly предотвратит XSS-атаки из-за получения этих файлов cookie.
Пока не:
- ваш браузер не поддерживает HttpOnly
- в браузере существует до сих пор неизвестная уязвимость, которая нарушает работу HttpOnly
- сервер был скомпрометирован (но тогда вы, вероятно, все равно будете залиты водой).
Как отметил другой автор:XSS — не единственная угроза, и захват файлов cookie — не единственная угроза, исходящая от XSS.Я уверен, что вы это знали — я просто завершен!
Удачи!
JavaScript может изменить HTML-код на странице, поэтому httpOnly не делает не , что означает, что вы защищены от XSS.
Анализатор пакетов может считывать файлы cookie, передаваемые по http. Но это может не подпадать под XSS.
