摘要:年月,遭到了攻擊�����,這個事件足以警示我們����。自從年雙十一正式上線,累計處理了億錯誤事件,付費客戶有金山軟件百姓網等眾多品牌企業���。
譯者按: 10 年前的博客似乎有點老了,但是XSS 攻擊的威脅依然還在,我們不得不防���。
原文: XSS - Stealing Cookies 101
譯者: Fundebug
本文采用意譯,版權歸原作者所有
竊取Cookie是非常簡單的,因此不要輕易相信客戶端所聲明的身份����。即便這個Cookie是在數秒之前驗證過�����,那也未必是真的���,尤其當你僅使用Cookie驗證客戶端的時候。
2006 年 1 月���,LiveJournal遭到了XSS攻擊,這個事件足以警示我們。還有����,2006 年 10 月����,MySapce也遭到了XSS攻擊�����,這告訴我們必須非常謹慎地過濾用戶發布的文本����,因為黑客可以在文本中摻雜一些 JavaScript 代碼����,以此竊取登陸用戶的Cookie。
正如黑客攻擊LiveJournal那樣�,你不需要在登陸用戶的瀏覽器進行任何操作��,而可以在第三方進行所有操作。更糟糕的是��,竊取Cookie事實上操作起來非常簡單��,但是防范起來卻非常困難���。
下面的的 JavaScript 代碼就可以竊取Cookie,是不是很簡單����?
如果我可以將這段代碼插入到某個登陸用戶的頁面���,則Cookie就會通過 HTTP 請求發送給我��,然后我就可以偽造那個可憐的登陸用戶了!
在 IE 瀏覽器上����,可以通過在 CSS 代碼中執行 JavaScript 來竊取Cookie��,也很簡單。
如果你對用戶發布的文本內容不進行嚴格的過濾的話���,黑客就可以很方便地竊取Cookie。是不是很可怕�����?如果你是一個負責任的開發者的話����,你就應該保持警惕!因此����,你必須假設所有用戶的Cookie都被竊取了����。注意���,是所有用戶�,對于這一點,我不想含糊其辭�����。
為了保證安全:請不停地重設session的重設����;將過期時間設置短一些���;監控referrer與userAgent的值;使用HttpOnly禁止腳本讀取Cookie����。這些措施并非萬無一失���,但是增加了黑客的難度����,因此也是有效的�����。
如果你對MySapce遭到的XSS攻擊不了解�,可以查看黑客本人公開的技術細節��,很有趣��,不過切勿模仿,因為他為自己的行為此付出了不小的代價:三年內被禁止使用電腦���!。
參考鏈接
9.3 避免 XSS 攻擊
Technical explanation of The MySpace Worm
Account Hijackings Force LiveJournal Changes
關于Fundebug
Fundebug專注于JavaScript���、微信小程序、微信小游戲�、支付寶小程序、React Native、Node.js和Java線上應用實時BUG監控。 自從2016年雙十一正式上線,Fundebug累計處理了10億+錯誤事件��,付費客戶有Google�、360、金山軟件、百姓網等眾多品牌企業���。歡迎大家免費試用!
版權聲明
轉載時請注明作者Fundebug以及本文地址:
https://blog.fundebug.com/2017/08/16/xss_steal_cookie/
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為�����,您可以聯系管理員刪除���。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11290.html
