会话劫持
概念
会话劫持(Session hijacking)是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。
注:Session ID一般都设置在cookie
步骤
目标用户需要先登录站点
登录成功后,该用户会得到站点提供的一个会话标识SessionID
攻击者通过某种攻击手段捕获Session ID
攻击者通过捕获到的Session ID访问站点即可获得目标用户合法会话
原理图
获取cookie
了解cookie接口:找到Session ID位置进行**
暴力**:尝试各种Session ID,直到**为止
预测:如果Session ID使用非随机的方式产生,那么就有可能计算出来
窃取:XSS攻击、使用网络嗅探(中间人攻击)等方法获得
XSS攻击劫持cookie
中间人攻击劫持cookie
危害
冒充其他人做事情:被冒充的人的权限越大,可以做的事情越多,比如:更改用户信息、进行转账、购买物品
对网站的影响:因为投诉等原因,会出现信誉下降、客户认为网站本身不可信
cookie机制
在动态网页语言中,某个用户(浏览器)访问(登陆)后,可以一直记录状态。这种状态浏览器使用Cookie来保存。
服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。
浏览器检查所有存储的cookie,如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置,则把该cookie附在请求资源的HTTP请求头上发送给服务器。
cookie的内容主要包括:名字,值,过期时间,路径和域。
如果不设置过期时间,则表示这个cookie的生命期为浏览器会话期间
session机制
session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息
当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 -称为session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照sessionid把这个session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含sessionid,则为此客户端创建一个session并且生成一个与此session相关联的session id,sessionid的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应中返回给客户端保存。
保存这个sessionid的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。
由于cookie可以被人为的禁止,必须有其他机制以便在cookie被禁止时仍然能够把sessionid传递回服务器。经常被使用的一种技术叫做URL重写,就是把sessionid直接附加在URL路径的后面,附加方式也有两种,一种是作为URL路径的附加信息,表现形式为:
http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
cookie属性
(1)HTTP-Only
- 服务端发送cookie的时候,可以设置HTTP-Only
Set-Cookie: SESSIONID=abc123; expires=Wednesday, 17-Nov-99 23:12:40 GMT; HttpOnly
- 这个参数的优点是不会被js获取
尝试打开有HTTP-Only cookie设置的网站
查看cookie
- 一般,session-id是用这个来判断
即使有xss漏洞,也获取不了session-id相关的cookie值
(2)secure
- 设置cookie的某个值secure为True时:
此cookie只有在HTTPS协议中才会进行传输
HTTP协议传输时,是不传输此协议的。
防御方法
XSS漏洞引起的会话劫持:可以使用http-only来防止js获取cookie中的sessionid信息
会话劫持引起的会话劫持:可以使用HTTP-SSL(https)+secure来保证sessionid不被获取