点击联系发帖人
时间:2019-01-15 20:22
如果cookie设置了HttpOnly标志可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的那么這里面就有文章可做了,因为已证明有些浏览器接收cookie的HttpOnly标记可以被JavaScript写入覆盖而这种覆盖可能被攻击者利用发动session fixation攻击。本文主题就是讨论這种技术
session fixation攻击的后果是攻击者可以冒充受害者,因为其知道受害者的session ID这里假设当成功登录应用后session不会重新生成。现实也确实是这样的但浏览器接收cookie不应该允许JavaScript覆盖HttpOnly标志,因为这种覆盖可能与某些应用程序登录成功后不会重新生成会话这一特性结合发动session fixation攻击。
那么登錄成功后如果重新生成session ID的话安全性是怎么样的呢?还能被攻击者利用吗?登录之后攻击者通过设置用户的session为攻击者正在使用的session,将用户切换為攻击者自己的帐户受害者以为其正在使用自己的帐户,实际上一些敏感信息已经泄露给攻击者了
该问题已经(于2014年2月14日)提交给相应的廠商。
IE、Firefix和Opera(标准安装版本)不容易受到上述攻击影响
黑莓公司回复说已经宣布于2014年4月后不再对PlayBook Tablet的操作系统(笔者当时测试时使用的系统)进行支持,因此不会修复该问题但是由于该问题是在支持结束声明之前提交的,他们决定将我加入到黑莓安全事件响应小组的感谢名单中(根據他们的规定笔者的名字会在2014年4月底才会被加入)[2]。
该问题两个月前提交给了苹果公司但从未收到任何反馈。
过程如下:运行这段代码之后可以看到cookie1(设置了HttpOnly标志)已经被JavaScript写入覆盖了。
HttpOnly标志的引入是为了防止设置了该标志的cookie被JavaScript读取但事实证明设置了这种cookie在某些浏览器接收cookieΦ却能被JavaScript覆盖,可被攻击者利用来发动session fixation攻击该问题被提出后,得到了相关厂商的响应最后,本文给出了一段利用演示代码
开始实习生涯今天遇到一个小需求,由于公司项目进行了前后端分离后端程序员无法通过前端页面进行调试,后端接口只能通过postman等工具进行调试
碰到一个需要将pdf在线展示的需求这个postman就无法调试了,只能通过浏览器接收cookie进行调试
后台中由于进行了cookie和session的登录验证,因此这就需要在浏览器接收cookie中手动修妀增加或者修改cookie的值查了一些资料,chrome浏览器接收cookie中可以通过console窗口进行cookie值得设置
在console窗口中输入如下代码刷新页面即可搞定
由于是内网开发无法截图,只能文字总结
