Web應(yīng)用程序是通過2種方式來判斷和跟蹤不同用戶的：Cookie或者Session(也叫做會(huì)話型Cookie)。其中Cookie是存儲(chǔ)在本地計(jì)算機(jī)上的，過期時(shí)間很長(zhǎng)，所以針對(duì)Cookie的攻擊手段一般是盜取用戶Cookie然后偽造Cookie冒充該用戶;而Session由于其存在于服務(wù)端，隨著會(huì)話的注銷而失效(很快過期)，往往難于利用。所以一般來說Session認(rèn)證較之Cookie認(rèn)證安全。
　　當(dāng)然啦，Session難于利用并不等于不能利用，本文將通過一個(gè)小小的例子實(shí)現(xiàn)一次簡(jiǎn)單的HTTP會(huì)話劫持。 　　還是以ASP為例，ASP程序是如何得到客戶端Session的呢?通過抓包可以發(fā)現(xiàn)HTTP請(qǐng)求的Cookie字段有個(gè)ASPSESSIONIDXXXXXXXX(X是隨機(jī)的字母)值，ASP程序就是通過這個(gè)值判斷Session的。如果我們得到管理員的ASPSESSIONIDXXXXXXXX及其值，并在這次會(huì)話結(jié)束之前提交到服務(wù)器，那么我們的身份就是管理員啦! 　　那怎么得到Session呢?答案是跨站。因?yàn)镴avaScript的document.cookie()方法會(huì)把Cookie讀出來，當(dāng)然也包括會(huì)話型Cookie。 　　如果你關(guān)注Web安全，相信你一定看到過記錄跨站得到Cookie的腳本程序，我們也需要一個(gè)類似的程序，但功能不是記錄，而是立即轉(zhuǎn)發(fā)(因?yàn)楫?dāng)前會(huì)話隨時(shí)可能由于管理員退出而失效)。這個(gè)程序可以用ASP、PHP、Perl甚至C來實(shí)現(xiàn)，我還是用ASP吧J 　　要寫這個(gè)程序，你還必須對(duì)要攻擊的程序相當(dāng)了解，因?yàn)槟阋峤桓鞣N請(qǐng)求。那現(xiàn)在先看看本例中被跨站的程序吧。 　　很榮幸，我選中了WebAdmin 1.4，嘿嘿，自己寫的程序自己肯定最清楚哪里有漏洞啊。呵呵，簡(jiǎn)要介紹一下，WebAdmin是一個(gè)ASP.Net下的webshell，使用的Session認(rèn)證方式，1.4版本的跨站存在于目錄瀏覽的URL。 　　所以我就在src中構(gòu)造這樣的路徑：“E: ”。這段代碼就是把當(dāng)前cookie作為參數(shù)提交給www.0x54.org/test/cc.asp文件。 　　cc.asp文件內(nèi)容如下： 　　該文件目的是獲取管理員Session并利用WebAdmin的文件編輯功能查看222.210.115.125(被攻擊的Web服務(wù)器，其實(shí)是我本機(jī)啦)的E:\MyWeb\webadmin.aspx文件內(nèi)容并把內(nèi)容保存到本地的a.txt文件中。數(shù)據(jù)的提交使用的是ServerXMLHTTP組件，它與XMLHTTP有相似之處，也有異同，具體的可以看看《ServerXMLHTTP vs XMLHTTP》。 　　準(zhǔn)備就緒，先登陸WebAdmin然后再訪問構(gòu)造好的跨站URL，呵呵，然后去看http://www.***.org/test/a.txt。 　　你也可以試試直接訪問cc.asp，呵呵，生成的a.txt將是一個(gè)登陸界面的源文件。 　　哈哈，現(xiàn)在熱烈慶祝一下本次HTTP會(huì)話劫持測(cè)試勝利閉幕，總的來說實(shí)行一次這樣的攻擊難度還是很大的，不過話又說回來，在技術(shù)這塊領(lǐng)域，除了Copy人家的代碼，還有不需要努力就能做好的事情嗎?

最新評(píng)論