Jak czytać plik cookie HttpOnly przy użyciu JavaScript

Question 1

Czy istnieje sposób na odczytanie bezpiecznego pliku cookie za pomocą JavaScript?
Próbowałem to zrobić za pomocą document.cookiei, o ile widzę w tym artykule o bezpiecznych plikach cookie i fladze HttpOnly , nie mogę w ten sposób uzyskać dostępu do bezpiecznego pliku cookie.

Czy ktoś może zaproponować obejście?

Question 2

Różne przeglądarki umożliwiają różne środki bezpieczeństwa, gdy ustawiona jest flaga HTTPOnly . Na przykład Opera i Safari nie uniemożliwiają zapisywania w pliku cookie przez javascript. Jednak czytanie jest zawsze zabronione w najnowszych wersjach wszystkich głównych przeglądarek.

Ale co ważniejsze, dlaczego chcesz czytać HTTPOnlyplik cookie? Jeśli jesteś programistą, po prostu wyłącz flagę i upewnij się, że testujesz swój kod pod kątem xss. Jeśli to możliwe, radzę unikać wyłączania tej flagi. HTTPOnlyFlag i „bezpieczna flaga” (co wymusza cookie być przesyłane przez https) powinny być zawsze zestaw.

Jeśli jesteś atakującym , chcesz przejąć sesję . Ale jest łatwy sposób na przechwycenie sesji pomimo HTTPOnlyflagi. Nadal możesz jeździć na sesji bez znajomości identyfikatora sesji. Robak MySpace Samy właśnie to zrobił. Użył XHR do odczytania tokena CSRF, a następnie wykonania autoryzowanego zadania. Dlatego osoba atakująca może zrobić prawie wszystko, co może zrobić zalogowany użytkownik.

Ludzie zbytnio wierzą w HTTPOnlyflagę, XSS nadal można wykorzystać. Powinieneś ustawić bariery wokół wrażliwych funkcji. Takie jak pole zmiany hasła powinno wymagać aktualnego hasła. Zdolność administratora do utworzenia nowego konta powinna wymagać captcha, która jest techniką zapobiegania CSRF, której nie można łatwo ominąć za pomocą XHR .

Question 3

Celem plików cookie HttpOnly jest to, że nie można uzyskać do nich dostępu przez JavaScript.

Jedynym sposobem (poza wykorzystywaniem błędów przeglądarki), aby skrypt je odczytał, jest posiadanie współpracującego skryptu na serwerze, który odczyta wartość pliku cookie i wyświetli ją z powrotem jako część treści odpowiedzi. Ale jeśli możesz i chciałbyś to zrobić, po co w ogóle używać plików cookie HttpOnly?

Question 4

Jednym ze sposobów jest użycie inspektora sieci Safari, a na karcie przechowywania możesz zobaczyć wszystkie pliki cookie, httpOnly lub nie, i po prostu wybrać plik cookie Command + C, aby go skopiować.

Po uzyskaniu ciągu można go łatwo przeanalizować z powrotem za pomocą dowolnego parsera plików cookie lub zwykłego kodu JavaScript.

Answer 1

90

Czy istnieje sposób na odczytanie bezpiecznego pliku cookie za pomocą JavaScript?
Próbowałem to zrobić za pomocą document.cookiei, o ile widzę w tym artykule o bezpiecznych plikach cookie i fladze HttpOnly , nie mogę w ten sposób uzyskać dostępu do bezpiecznego pliku cookie.

Czy ktoś może zaproponować obejście?

javascript security cookies tzam
źródło

1

Z wiki : bezpieczny plik cookie jest używany tylko wtedy, gdy przeglądarka odwiedza serwer za pośrednictwem protokołu HTTPS.

Pavel Hodek

6

@Pavel Hodek To zła flaga. Flaga „bezpiecznego” pliku cookie nie ma nic wspólnego z flagą zabezpieczeń HTTPOnly. Mają okropny system nazewnictwa.

wieża

1

Tytuł tego pytania należy zmienić tak, aby zawierał flagę „HttpOnly”. W obecnej formie wygląda na to, że pytanie dotyczy flagi „Bezpieczne”.

Tom

Answer 2

1

Z wiki : bezpieczny plik cookie jest używany tylko wtedy, gdy przeglądarka odwiedza serwer za pośrednictwem protokołu HTTPS.

Pavel Hodek

Answer 3

6

@Pavel Hodek To zła flaga. Flaga „bezpiecznego” pliku cookie nie ma nic wspólnego z flagą zabezpieczeń HTTPOnly. Mają okropny system nazewnictwa.

wieża

Answer 4

1

Tytuł tego pytania należy zmienić tak, aby zawierał flagę „HttpOnly”. W obecnej formie wygląda na to, że pytanie dotyczy flagi „Bezpieczne”.

Tom

Answer 5

Różne przeglądarki umożliwiają różne środki bezpieczeństwa, gdy ustawiona jest flaga HTTPOnly . Na przykład Opera i Safari nie uniemożliwiają zapisywania w pliku cookie przez javascript. Jednak czytanie jest zawsze zabronione w najnowszych wersjach wszystkich głównych przeglądarek.

Ale co ważniejsze, dlaczego chcesz czytać HTTPOnlyplik cookie? Jeśli jesteś programistą, po prostu wyłącz flagę i upewnij się, że testujesz swój kod pod kątem xss. Jeśli to możliwe, radzę unikać wyłączania tej flagi. HTTPOnlyFlag i „bezpieczna flaga” (co wymusza cookie być przesyłane przez https) powinny być zawsze zestaw.

Jeśli jesteś atakującym , chcesz przejąć sesję . Ale jest łatwy sposób na przechwycenie sesji pomimo HTTPOnlyflagi. Nadal możesz jeździć na sesji bez znajomości identyfikatora sesji. Robak MySpace Samy właśnie to zrobił. Użył XHR do odczytania tokena CSRF, a następnie wykonania autoryzowanego zadania. Dlatego osoba atakująca może zrobić prawie wszystko, co może zrobić zalogowany użytkownik.

Ludzie zbytnio wierzą w HTTPOnlyflagę, XSS nadal można wykorzystać. Powinieneś ustawić bariery wokół wrażliwych funkcji. Takie jak pole zmiany hasła powinno wymagać aktualnego hasła. Zdolność administratora do utworzenia nowego konta powinna wymagać captcha, która jest techniką zapobiegania CSRF, której nie można łatwo ominąć za pomocą XHR .

Answer 6

Czy mógłbyś rozwinąć sprawę robaka? Ten link nie działa i tak naprawdę nie rozumiał zbyt wiele z Internetu. Dziękuję Ci.

Abhishek Jebaraj

Answer 7

@Abhishek Jebaraj Jeśli nie rozumiesz robaka sammy lub tokenów CSRF, spróbuj najpierw zrozumieć ograniczenia polityki tego samego pochodzenia

wieża

Answer 8

chcę uzyskać datę wygaśnięcia pliku cookie tylko http, jak to zrobić

PirateApp

Answer 9

50

Celem plików cookie HttpOnly jest to, że nie można uzyskać do nich dostępu przez JavaScript.

Jedynym sposobem (poza wykorzystywaniem błędów przeglądarki), aby skrypt je odczytał, jest posiadanie współpracującego skryptu na serwerze, który odczyta wartość pliku cookie i wyświetli ją z powrotem jako część treści odpowiedzi. Ale jeśli możesz i chciałbyś to zrobić, po co w ogóle używać plików cookie HttpOnly?

Ilmari Karonen
źródło

Możesz go przetestować, aby dowiedzieć się, czy przeglądarka użytkownika poprawnie obsługuje HttpOnly dla plików cookie, zanim zezwolisz użytkownikowi na korzystanie z Twojej witryny z określonej przeglądarki. Szukam przykładu, który zapewni obsługę flagi HttpOnly przez przeglądarkę. MS również radzi, aby to zrobić, ale nie ma dalszych porad, jak: Łagodzenie XSS za pomocą

HttpOnly

Znalazłem, że zalecają białą listę wersji przeglądarki. Mogę się mylić, ale czy nie byłby to wygodny sposób sprawdzenia obsługi z javascript? Czy mógłbyś zasugerować jakieś drawbaki?

Ursegor

Answer 10

Możesz go przetestować, aby dowiedzieć się, czy przeglądarka użytkownika poprawnie obsługuje HttpOnly dla plików cookie, zanim zezwolisz użytkownikowi na korzystanie z Twojej witryny z określonej przeglądarki. Szukam przykładu, który zapewni obsługę flagi HttpOnly przez przeglądarkę. MS również radzi, aby to zrobić, ale nie ma dalszych porad, jak: Łagodzenie XSS za pomocą

HttpOnly

Answer 11

Znalazłem, że zalecają białą listę wersji przeglądarki. Mogę się mylić, ale czy nie byłby to wygodny sposób sprawdzenia obsługi z javascript? Czy mógłbyś zasugerować jakieś drawbaki?

Ursegor

Answer 12

-7

Jednym ze sposobów jest użycie inspektora sieci Safari, a na karcie przechowywania możesz zobaczyć wszystkie pliki cookie, httpOnly lub nie, i po prostu wybrać plik cookie Command + C, aby go skopiować.

Po uzyskaniu ciągu można go łatwo przeanalizować z powrotem za pomocą dowolnego parsera plików cookie lub zwykłego kodu JavaScript.

pankajdoharey
źródło

1

FF i Chrome również mogą to zrobić. Nie są tym samym, czego chce OP.

imba-tjd

@ imba-tjd Cóż, masz rację, ale używałem wówczas Safari, więc mogę to po prostu ręczyć.

pankajdoharey

To tak, jakbyś odpowiadał komuś, kto pyta „Jak uzyskać dane wejściowe użytkownika”, „Po prostu zapytaj go, a następnie wprowadź to w swoim kodzie”.

forumulator

Answer 13

1

FF i Chrome również mogą to zrobić. Nie są tym samym, czego chce OP.

imba-tjd

Answer 14

@ imba-tjd Cóż, masz rację, ale używałem wówczas Safari, więc mogę to po prostu ręczyć.

pankajdoharey

Answer 15

To tak, jakbyś odpowiadał komuś, kto pyta „Jak uzyskać dane wejściowe użytkownika”, „Po prostu zapytaj go, a następnie wprowadź to w swoim kodzie”.

forumulator

Jak czytać plik cookie HttpOnly przy użyciu JavaScript

Odpowiedzi: