在本文中,我们将研究Cookie的各种攻击情形。下图是有关基于Cookie的身份验证漏洞的详细思维导图。
现在,我们将从上方的思维导图中了解一些有趣的攻击情形。为您提供工具,让您在偶然发现Cookie时能更好地了解自己的攻击面。
假设程序使用基于cookie的身份验证,并在cookie中提供了userid参数。但是,没有使用其他会话标识符对此userid进行验证,因此,攻击者可以将userid简单地更改为受害者用户的标识并获得对其帐户的访问权限。
原始请求
**修改的请求
攻击者试图将用户ID更改为受害者,例如1235。**
在这种情况下,如果使用cookie来定义角色)并且没有进行验证,则攻击者可以来执行提权。
实际应用过程
攻击者可能利用cookie来执行文件包含攻击,这听起来很奇怪,但是取决于应用程序如何实现各种功能,安全问题随时可能出现。
假设应用程序利用以下cookie来显示欢迎界面。
该应用程序正在从后端获取一些welcom.php文件,因此它可能是一个本地文件包含。
如果在应用程序中的某个位置看到**/etc/passwd**代替了welcome.php,则表示攻击已成功执行。但是,这种情况很少见
许多应用程序利用Cookie在应用程序用户界面中显示用户名或某种消息。攻击者可以篡改此cookie并注入恶意JavaScript,从而导致Self-XSS。
现在,Self-XSS不再具有影响力,并且通常被认为是可以接受的风险。
1.通过发布多个cookie并分析它们,检查cookie是否是随机生成的。
2.检查是否使用了一些弱密码或已知密码。假设cookie使用的是Base64编码,并且可以轻松地进行解码/伪造。
有时,cookie用于存储用户的个人信息,尤其是在与卫生保健相关的应用程序中。始终检查以下内容:
假设应用程序具有以下接口,允许用户查看一些受保护的敏感信息。
现在,攻击者尝试直接请求此终结点,而无需通过应用程序的身份验证。
如果应用程序不验证用户是否通过身份验证,则攻击者可以在不通过应用程序身份验证的情况下访问受保护的资源。这将导致直接请求或授权绕过问题。
如果cookie使用任何序列化的对象,则可以执行对象注入或基于序列化的攻击。这使攻击者可以根据使用序列化对象的方式来执行特权升级,身份验证绕过和其他攻击。
了解更多:https://portswigger.net/web-security/deserialization/exploiting
如果应用程序接受重复参数(多次使用同一参数)或同一参数内的多个值的使用,则可能会受到参数污染或成批分配攻击的攻击。
攻击流程
这是一个简单的安全性错误配置,很容易检查。登录到应用程序后,请使用任何cookie编辑器或Browser Developer Tools来查看cookie是否缺少以下属性(未设置标志):
**HTTPOnly:**使用Cookie攻击(例如XSS)防止cookie被盗。
Secure:防止cookie被不安全的通信渠道和中间人攻击等攻击所窃取。
1.开启必需的cookie安全属性,例如HTTPOnly和Secure。
2.确保不使用纯cookie来定义特权。例如,不应执行发送角色参数以定义特权的操作。
3.确保没有敏感数据直接在Cookie中使用。如果由于任何业务需求而需要使用此数据,请确保对其进行了高度加密并且不能将其解密。
4.对接口上进行验证,杜绝未授权访问。
5.与基于cookie的身份验证相比,首选基于令牌的身份验证,或实施其他Authorization标头,以确保更大程度地减少此类攻击尝试。
6.切勿允许使用Cookie读取服务器端组件(例如文件),并确保进行适当的验证检查以减轻此类攻击。
原文地址?
放屁总归是一件非常尴尬的事,如果是没人的时候放个屁,就自己知道还好,但如果是很多人,或者是在学校以及公司里面,当着众人的面,那就是一件非常糗的事,恨不得找个地缝钻进去,但是对于放屁你有没有想过是身体健...
哪里找黑客入侵网站相关问题 黑客入侵软件中文版相关问题 黑客通过什么方式入侵电脑系统 全球黑客排行榜(黑客排行榜) 如何使用黑客软件破解rar密码 盗qq的黑客网站(黑客网...
又可以明目张胆的看泳装图了,有人爱晒,有人爱看,何乐而不为。 前面恶搞的有点多,后面泳装图就多了,敢晒图的,都是对自己身体对照有信心的。 这些meinv们还真敢露脸,说不定就被盗图用来做什么了。...
旅游安全协议书(旅游安全协议书的范本) 为明确客户在外出旅游时和员工人身伤害等事故发生时双方的责任,保证工作的顺利进行。甲乙双方自愿签订如下协议: 甲 方: 乙 方: 第一条:乙方自愿组织客户外...
2020年考研初试成绩公布了!2020考研初试成绩部分考生于2月10日在研招网就可以查到了,查不到成绩的亲也不要着急,2月20日绝大部分省份和高校都会公布成绩,到了时间大家可以再登录研招网或高校官网查...
楼主应该去举报他聊天窗口有得举报只要他去过你空间你可以用找我就Q我来聊天,然后举报 QQ被盗了,只要在登陆处点击那个忘记密码。会出现申诉的一个网页、只要你记得你QQ三个或者一个好朋友的QQ号码,和你...