20

HttpOnly Cookie に関するこのブログ投稿を読んで、私は考え始めました。HttpOnly Cookie を任意の形式の XSS で取得することは可能でしょうか? Jeff は、「基準を大幅に引き上げる」と述べていますが、XSS から完全に保護するわけではないように聞こえます。

すべてのブラウザーがこの機能を適切にサポートしているわけではないという事実は別として、ユーザーの Cookie が HttpOnly である場合、ハッカーはどのようにしてユーザーの Cookie を取得できるのでしょうか?

HttpOnly Cookie を別のサイトに送信したり、スクリプトで読み取ったりする方法が思いつかないので、これは安全なセキュリティ機能のように思えますが、一部の人々が多くの Cookie を簡単に回避できることにいつも驚かされます。セキュリティ層。

私が働いている環境では、IE のみを使用しているため、他のブラウザーは問題になりません。これがブラウザ固有の欠陥に依存しない問題になる可能性がある他の方法を特に探しています。

4

5 に答える 5

32

まず、他の人が言及したように、XSSはCookie 盗用だけでなく、他のペイロードも許可できます

しかし、XSS を使用して httpOnly の Cookie を盗む方法はありますか? (httpOnly サポートの質問を無視しますか?)... 答えは: はい。
XSS のサブセットはCross-Site Tracing (XST)として知られています(または、元の研究論文を参照してください)。この攻撃では、XSS ペイロードに HTTP TRACE リクエストを Web サーバー (またはproxy、フォワードまたはリバース) に送信させます。このリクエストは、完全なリクエストをクライアントにエコー バックします。XSS ペイロードは、返された情報を解析し、おいしい Cookie を取得できます...


ところで、XSS のさらに別の「サブセット」(一種) には、ペイロードを応答ヘッダーに挿入することが含まれます。似ていますが、これは正確にはXSS ではなく、ヘッダー インジェクションはHTTP 応答分割 (HRS)につながることさえあります。これははるかに強力であり、他のクライアントのほぼ完全な制御、キャッシュ ポイズニング、そしてもちろん必要に応じて Cookie へのアクセスを可能にします。

于 2009-02-08T01:18:46.173 に答える
5

HttpOnly Cookieを使用すると、 XSS 攻撃がそれらの Cookie を取得するの を防ぐことができます。

そうでもなければ:

  • お使いのブラウザは HttpOnly をサポートしていません
  • ブラウザには、HttpOnly を破る未知の脆弱性が存在します。
  • サーバーが危険にさらされています (しかし、いずれにせよ、あなたはおそらく困惑しています)。

別の投稿者が指摘しているように、XSS だけが脅威ではなく、XSS による脅威は Cookie の取得だけではありません。私はあなたがこれを知っていたと確信しています-私はただ完成しています!

幸運を!

于 2008-10-23T14:45:00.530 に答える
4

ブラウザがHttpOnlyを理解しない場合、攻撃は成功します。 編集:わかりました、あなたは心配していません。それは問題ありませんが、参考のためにこの通知を残しておきます。明示的に述べると便利です。

ネットワークをスニッフィングする以外に盗む別の方法は、ユーザーのコンピューターを直接制御することです。次に、Cookieをファイルから読み取ることができます。セッションCookieの場合は、もちろんブラウザを閉じた後に削除されます。

ちなみに、XSS攻撃の「ペイロード」として考えられるのは、セッションCookieを盗むことだけではありません。たとえば、CSRF保護が役に立たなくなる可能性があります。それはユーザーを欺くためにあなたのサイトの内容を変えるかもしれません。そして他の多くの悪意のあるもの。

したがって、適切な方法で自分自身を保護し(出力をエスケープ)、 HttpOnlyを追加の保護レイヤーとして考えてください。

于 2008-10-23T06:32:19.793 に答える
-3

パケット スニッフィングは、http 経由で送信された Cookie を読み取ることができます。ただし、XSS には該当しない場合があります。

于 2008-10-23T01:19:08.020 に答える
-3

JavaScript はページの HTML を変更できるため、httpOnlyはXSS に対して安全であるとは限りません。

于 2010-05-27T17:47:05.200 に答える