XSS攻击是否有可能获得HttpOnly cookie?
[英]Is it possible for a XSS attack to obtain HttpOnly cookies?
问题描述
阅读关于HttpOnly cookies的博客文章让我开始思考,是否有可能通过任何形式的XSS获得HttpOnly cookie? 杰夫提到它“大大提高了标准”,但听起来似乎并没有完全抵御XSS。
除了并非所有浏览器都能正确支持此功能外,黑客如何获取用户的cookie,如果他们是HttpOnly?
我想不出任何方法可以让HttpOnly cookie发送到另一个站点或者通过脚本读取,所以看起来这是一个安全的安全功能,但我总是惊讶于一些人可以轻松地解决许多问题安全层。
在我工作的环境中,我们专门使用IE,因此其他浏览器不是问题。 我正在寻找其他方式,这可能成为一个不依赖于浏览器特定缺陷的问题。
5 个解决方案
解决方案1
23 已采纳 2009-02-08 01:18:46
首先,正如其他一些人所提到的,XSS 可以允许其他有效负载,而不仅仅是cookie窃取。
不过,反正是有偷的HttpOnly饼干,用XSS? (忽略httpOnly支持的问题?)....答案是:是的。
XSS的一个子集称为跨站点跟踪(XST) (或转到原始研究论文 )。 此攻击使XSS有效负载向Web服务器(或代理 ,正向或反向)发送HTTP TRACE请求,该请求将向客户端回送完整请求 - 包括您的COOKIES,httpOnly与否。 然后,XSS有效负载可以解析返回的信息,并检索那些美味的cookie ...
顺便说一下,XSS的另一个“子集”(有点)涉及将有效负载注入响应头。 虽然类似,但这并不完全是 XSS,并且Header Injection甚至可以导致HTTP响应分裂(HRS) - 它更强大,允许接近完全控制其他客户端,缓存中毒,当然还有访问cookie,如果愿意的话。
解决方案2
5 2008-10-23 06:32:19
如果浏览器不理解HttpOnly,则攻击成功。 编辑:好的,你不担心。 那没关系,但我会留下这个通知仅供参考。 明确说明它是有用的。
除了嗅探网络之外,窃取的另一种方式是直接控制用户的计算机。 然后可以从文件中读取cookie。 如果它是会话cookie,它将在浏览器关闭后被删除。
顺便说一下,窃取会话cookie并不是XSS攻击唯一可能的“有效载荷”。 例如,它可能会使您的CSRF保护无效。 它可能会改变您网站的内容以欺骗用户。 还有很多其他恶意的东西。
因此,以更好的方式更好地保护自己(逃避输出),并将HttpOnly视为额外的保护层 。
解决方案3
2 2008-10-23 14:45:00
使用HttpOnly cookie 可以防止 XSS攻击获取这些cookie。
除非:
- 您的浏览器不支持HttpOnly
- 浏览器中存在一个迄今未知的漏洞,打破了HttpOnly
- 服务器已经被泄露(但是你可能已经被冲洗了)。
正如另一张海报所指出的那样:XSS不是唯一存在的威胁,抓取cookie并不是XSS的唯一威胁。 我相信你知道这一点 - 我只是完成了!
祝好运!
解决方案4
0 2010-05-27 17:47:05
JavaScript可以修改页面上的HTML,因此,仅Http 并不意味着你反对XSS安全。
解决方案5
-1 2008-10-23 01:19:08
数据包嗅探可以读取通过http传输的cookie。 但它可能不属于XSS。
当脚本在HTML textarea中显示时,是否可以进行XSS攻击?
[英]Is an XSS attack possible when a script is displayed in an HTML textarea?
<和>被编码时,html标签之间是否可能进行xss攻击
[英]Is xss attack possible between html tag while < and > are encoded
当注入点是样式属性的值时,是否可以进行XSS攻击?
[英]Is a XSS attack possible when the point of injection is the value of the style attribute?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.