【.com 獨(dú)家特稿】在Web安全領(lǐng)域��,跨站腳本攻擊時(shí)最為常見(jiàn)的一種攻擊形式�,也是長(zhǎng)久以來(lái)的一個(gè)老大難問(wèn)題�,而本文將向讀者介紹的是一種用以緩解這種壓力的技術(shù)���,即HTTP-only cookie����。
創(chuàng)新互聯(lián)建站是一家專注于網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)與策劃設(shè)計(jì),彝良網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:彝良等地區(qū)����。彝良做網(wǎng)站價(jià)格咨詢:13518219792
我們首先對(duì)HTTP-only cookie和跨站腳本攻擊做了簡(jiǎn)單的解釋,然后詳細(xì)說(shuō)明了如何利用HTTP-only cookie來(lái)保護(hù)敏感數(shù)據(jù)����,最后介紹了實(shí)現(xiàn)HTTP-only cookie時(shí)確定瀏覽器版本的具體問(wèn)題。
一��、XSS與HTTP-only Cookie簡(jiǎn)介
跨站點(diǎn)腳本攻擊是困擾Web服務(wù)器安全的常見(jiàn)問(wèn)題之一�。跨站點(diǎn)腳本攻擊是一種服務(wù)器端的安全漏洞�����,常見(jiàn)于當(dāng)把用戶的輸入作為HTML提交時(shí)�����,服務(wù)器端沒(méi)有進(jìn)行適當(dāng)?shù)倪^(guò)濾所致����。跨站點(diǎn)腳本攻擊可能引起泄漏Web 站點(diǎn)用戶的敏感信息���。為了降低跨站點(diǎn)腳本攻擊的風(fēng)險(xiǎn)���,微軟公司的Internet Explorer 6 SP1引入了一項(xiàng)新的特性�。
這個(gè)特性是為Cookie提供了一個(gè)新屬性���,用以阻止客戶端腳本訪問(wèn)Cookie�����。
像這樣具有該屬性的cookie被稱為HTTP-only cookie�����。包含在HTTP-only cookie中的任何信息暴露給黑客或者惡意網(wǎng)站的幾率將會(huì)大大降低�����。下面是設(shè)置HTTP-only cookie的一個(gè)報(bào)頭的示例:
Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly
上面我們介紹了HTTP-only Cookie�;下面我們開(kāi)始向讀者介紹跨站點(diǎn)腳本攻擊�、允許通過(guò)腳本訪問(wèn)的cookie所帶來(lái)的潛在危險(xiǎn)以及如何通過(guò)HTTP-only來(lái)降低跨站點(diǎn)腳本攻擊的風(fēng)險(xiǎn)。
跨站點(diǎn)腳本攻擊是一種服務(wù)器端常見(jiàn)的安全漏洞����,它使得黑客可以欺騙用戶從而導(dǎo)致用戶在某個(gè)Web 站點(diǎn)上的敏感信息的泄漏。下面通過(guò)一個(gè)簡(jiǎn)單的示例來(lái)解釋一個(gè)跨站點(diǎn)腳本攻擊的相關(guān)步驟�。
二、跨站點(diǎn)腳本攻擊示例
為了解釋跨站點(diǎn)腳本攻擊是如何被黑客利用的����,我們假想了下面的一個(gè)例子:
A證券公司運(yùn)行了一個(gè)Web 站點(diǎn),該站點(diǎn)允許您跟蹤某股票的最新價(jià)格��。為了提高用戶體驗(yàn)�,登錄A證券公司的Web 站點(diǎn)之后,你將被重定向到www.azhengquan.com/default.asp?name = < script > evilScript()< / script >張三����,并且有一個(gè)服務(wù)器端腳本生成一個(gè)歡迎頁(yè)面,內(nèi)容為“歡迎您回來(lái)��,張三����!”。
你的股票數(shù)據(jù)被存放在一個(gè)數(shù)據(jù)庫(kù)中����,并且Web 站點(diǎn)會(huì)在你的計(jì)算機(jī)上放置一個(gè)cookie,其中包含了對(duì)這個(gè)數(shù)據(jù)庫(kù)非常重要的數(shù)據(jù)�。每當(dāng)你訪問(wèn)A證券公司站點(diǎn)時(shí)�,瀏覽器都會(huì)自動(dòng)發(fā)送該cookie��。
一個(gè)黑客發(fā)現(xiàn)A證券公司公司的Web 站點(diǎn)存在一個(gè)跨站點(diǎn)腳本攻擊缺陷����,所以他決定要利用這點(diǎn)來(lái)收集你所持股票的名稱等敏感信息。黑客會(huì)您你發(fā)送一封電子郵件�����,聲稱您中獎(jiǎng)了����,并且需要點(diǎn)擊某個(gè)鏈接如“點(diǎn)擊這里”來(lái)領(lǐng)取獎(jiǎng)品。注意���,該鏈接將超鏈接到www.azhengquan.com/default.asp?name=< script >evilScript()< / script > 當(dāng)您點(diǎn)擊這個(gè)鏈接�,映入眼簾您的將是“歡迎您回來(lái)�����!”—— 等等���,您的姓名哪里去了�?事實(shí)上�����,單擊電子郵件內(nèi)的鏈接之后��,你實(shí)際上就是在通知A證券公司公司的Web 站點(diǎn)���,你的姓名是< script > evilScript()< /script >���。Web服務(wù)器把用這個(gè)“名字”生成的HTML返回給你,但是你的瀏覽器會(huì)把這個(gè)“名字”作為腳本代碼解釋��,腳本執(zhí)行后便出現(xiàn)了我們前面看到的一幕����。一般情況下,支持客戶端腳本是瀏覽器的典型功能之一��。如果這個(gè)腳本命令瀏覽器向黑客的計(jì)算機(jī)發(fā)回一個(gè)cookie���,即使這個(gè)cookie包含有您的股票的有關(guān)信息�����,您的瀏覽器也會(huì)老老實(shí)實(shí)地執(zhí)行�����。最后���,那些來(lái)自A證券公司的Web 站點(diǎn)的指令獲取了那個(gè)包含敏感信息的cookie����。
下面是跨站腳本攻擊的示意圖�����,它詳細(xì)的展示了攻擊的五個(gè)步驟�����。首先�����,用戶點(diǎn)擊了黑客發(fā)來(lái)的電子郵件中的一個(gè)嵌入的鏈接(第1步)�。由于跨站點(diǎn)腳本攻擊缺陷的原因,這樣會(huì)導(dǎo)致用戶的瀏覽器向Web 站點(diǎn)發(fā)送一個(gè)請(qǐng)求(第2步);服務(wù)器端根據(jù)該請(qǐng)求會(huì)生成一個(gè)包含惡意腳本的響應(yīng)�,并將其發(fā)回給用戶的瀏覽器(第3步)。當(dāng)用戶的機(jī)器執(zhí)行返回的惡意代碼時(shí)(第4步)����,就會(huì)將用戶的敏感數(shù)據(jù)發(fā)送給黑客的計(jì)算機(jī)(第5步)。
我們可以看到�,這個(gè)過(guò)程只需要用戶單擊了一個(gè)鏈接��,然后就會(huì)有指令發(fā)送給Web服務(wù)器�����,然后Web服務(wù)器生成一個(gè)嵌入惡意腳本的網(wǎng)頁(yè)�����;瀏覽器運(yùn)行這個(gè)來(lái)自受信任的源的腳本�,卻致使信息泄漏給黑客的計(jì)算機(jī)??缯军c(diǎn)腳本攻擊有許多不同的形式,這里只是其中的一種�。
三、用HTTP-only Cookie保護(hù)數(shù)據(jù)
為了緩解跨站點(diǎn)腳本攻擊帶來(lái)的信息泄露風(fēng)險(xiǎn)��,Internet Explorer 6 SP1為Cookie引入了一個(gè)新屬性。這個(gè)屬性規(guī)定�,不許通過(guò)腳本訪問(wèn)cookie。使用HTTP-only Cookie后����,Web 站點(diǎn)就能排除cookie中的敏感信息被發(fā)送給黑客的計(jì)算機(jī)或者使用腳本的Web站點(diǎn)的可能性。
Cookie通常是作為HTTP 應(yīng)答頭發(fā)送給客戶端的���,下面的例子展示了相應(yīng)的語(yǔ)法(注意�����,HttpOnly屬性對(duì)大小寫(xiě)不敏感):
Set-Cookie: = [; = ]
[; expires= ][; domain= ]
[; path= ][; secure][; HttpOnly]
即使應(yīng)答頭中含有HttpOnly屬性����,當(dāng)用戶瀏覽有效域中的站點(diǎn)時(shí)�����,這個(gè)cookie仍會(huì)被自動(dòng)發(fā)送��。但是��,卻不能夠在Internet Explorer 6 SP1中使用腳本來(lái)訪問(wèn)該cookie��,即使起初建立該cookie的那個(gè)Web 站點(diǎn)也不例外。這意味著����,即使存在跨站點(diǎn)腳本攻擊缺陷,并且用戶被騙點(diǎn)擊了利用該漏洞的鏈接����,Internet Explorer也不會(huì)將該cookie發(fā)送給任何第三方。這樣的話�,就保證了信息的安全。
注意�����,為了降低跨站點(diǎn)腳本攻擊帶來(lái)的損害�����,通常需要將HTTP-only Cookie和其他技術(shù)組合使用���。如果單獨(dú)使用的話,它無(wú)法全面抵御跨站點(diǎn)腳本攻擊�����。
四、支持HTTP-only Cookie的瀏覽器
如果Web 站點(diǎn)為不支持HTTP-only Cookie的瀏覽器建立了一個(gè)HTTP-only cookie的話��,那么該cookie不是被忽略就是被降級(jí)為普通的可以通過(guò)腳本訪問(wèn)的cookie�。這還是會(huì)導(dǎo)致信息容易被泄露。
對(duì)于公司內(nèi)部網(wǎng)中的web頁(yè)面���,管理員可以要求所有用戶都是由支持HTTP-only Cookie的瀏覽器�,這樣能保證信息不會(huì)由于跨站點(diǎn)腳本攻擊缺陷而泄露����。
對(duì)于公共Web 站點(diǎn),由于需要支持各種各樣的瀏覽器����,這時(shí)可以考慮使用客戶端腳本來(lái)確定不同訪問(wèn)者所使用的瀏覽器的版本。Web 站點(diǎn)可以通過(guò)向支持~的瀏覽器發(fā)送敏感信息以減輕跨站點(diǎn)腳本攻擊對(duì)Cookie的威脅����。對(duì)于那些使用不支持HTTP-only Cookie的瀏覽器的訪問(wèn)者,可以限制為其提供的信息或功能��,并要求升級(jí)他們的軟件�。
當(dāng)確定Internet Explorer的版本時(shí),重要的是記住Internet Explorer 6 SP1 的用戶代理字符串跟Internet Explorer 6的用戶代理字符串是一樣的���?��?蛻舳四_本還必須使用navigator對(duì)象的appMinorVersion屬性檢測(cè)主版本號(hào)����,這樣才能確定出客戶端是否安裝了Internet Explorer 6 SP1�。
五、小結(jié)
在Web安全領(lǐng)域��,跨站腳本攻擊時(shí)最為常見(jiàn)的一種攻擊形式����,也是長(zhǎng)久以來(lái)的一個(gè)老大難問(wèn)題,而本文將向讀者介紹一種用以緩解這種壓力的技術(shù)�����,即HTTP-only cookie���。我們首先對(duì)HTTP-only cookie和跨站腳本攻擊做了簡(jiǎn)單的解釋,然后詳細(xì)說(shuō)明了如何利用HTTP-only cookie來(lái)保護(hù)敏感數(shù)據(jù)�����,最后介紹了實(shí)現(xiàn)HTTP-only cookie時(shí)確定瀏覽器版本的具體問(wèn)題。
【.COM 獨(dú)家特稿���,轉(zhuǎn)載請(qǐng)注明出處及作者�����!】
【編輯推薦】
- 錦上添花:為最佳JSP服務(wù)器Resin加上SSL認(rèn)證
- 基于IE的MIME sniffing功能的跨站點(diǎn)腳本攻擊
- 安全專家詳談:對(duì)付惡意軟件的策略及方法
- 幫你解開(kāi)Twitter的Don't Click攻擊的神秘面紗
- 安全公司稱俄羅斯已成為垃圾郵件超級(jí)大國(guó)
- 諾頓再次誤升級(jí) 廠商可無(wú)視用戶許可?
文章題目:利用HTTP-onlyCookie緩解XSS之痛
當(dāng)前地址:
http://uogjgqi.cn/article/dhidiop.html
