对伴侣的一个项目进行code review, 发明问题还真不少. 有些web项目成果虽然五脏俱全, 但对网络安适的意识以及相关的技术沉淀, 几乎可以说没. 这也是很多小作坊式的项目的一类通病.
今天我们来谈谈简单的xss打击, 以及Cookie劫持的攻与防.

案列:

听闻之前通过CCTV电话访谒周鸿祎时, 分析其按键声音从而获取红衣教主的电话号码的阿谁传奇大侠.

其后续的一个得意之作, 等于通过给大学的一个助教发了份垂钓邮件, 告成获取了助教的cookie信息, 最终登陆系统, 提前获取了成效信息.

那它是怎么实现的呢.

1. Cookie是什么?

2. 窃取的道理是什么?

3. 系统如何防Cookie劫持呢?

看完这三个回答, 你就大白哪位传奇大侠是如何告成的!!!

Cookie:

HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session. Cookie包罗了浏览器客户真个用户凭证, 相对较小. Session则维护在处事器, 用于维护相对较大的用户信息.

用通俗的语言, Cookie是钥匙, Session是锁芯.

Cookie简单理解就是钥匙, 每次去处事端获取资源, 需要带着这把钥匙, 只有本身的锁芯(资源), 才华打开.

如果你丢失了钥匙, 那没步伐, 只能配一把钥匙和锁芯.

但是如果钥匙被别人拿了, 那别人就可以冒充你的身份, 去打开你的锁芯, 从而获取你的信息, 甚至调用你的资金. 这长短常危险的.

XSS打击:

XSS(Cross Site Scripting)是跨站点脚本打击的缩写. 其就是操作站点开放的文本编纂并颁布的成果, 从而造成打击.

其实说的简单一点, 就是输入javascript脚本, 窃取并投递cookie信息到本身的站点.

好比打击者以一个普通用户登录进来，然后在输入框中提交以下数据：

打击者提交了条带标签的数据，该条数据生存于处事器端，而打点员登入时，不小心点击这个链接时，则会把自身的cookie信息, 投递给hacker设定的网址.

=xxxxxxyyyyyzzz

有了该session-id，打击者在会话有效期内即可获得打点员的权限，并且由于打击数据已添插手数据库，只要打击数据未被删除，那么打击还有可能生效，是长期性的。

Cookie劫持的防:

基于XSS打击, 窃取Cookie信息, 并冒充他人身份.

处事端如何防呢?

第一种步伐是:

给Cookie添加HttpOnly属性, 这种属性设置后, 只能在http请求中通报, 在脚本中, document.cookie无法获取到该Cookie值. 对XSS的打击, 有必然的防御值. 但是对网络拦截, 还是泄露了.

第二种步伐:

在cookie中添加校验信息, 这个校验信息和当前用户外置环境有些关系,好比ip,user agent等有关. 这样当cookie被人劫持了, 并冒用, 但是在处事器端校验的时候, 发明校验值产生了变革, 因此要求从头登录, 这样也是种很好的思路, 去规避cookie劫持.

第三种步伐:

cookie中session id的按时改换, 让session id按必然频率调动, 同时对用户而言, 该操纵是透明的, 这样保证了处事体验的一致性.

跋文:

对XSS的攻与防, 有很多思路和解决方案. 该文章也是简单谈谈对Cookie劫持的攻与防的一些思路.