相关课程的线上实验版本已投递到实验楼,实验楼在线教育平台提供非常优秀的在线实验环境,建议有兴趣的朋友可以看看:点击前往
一、文章介绍
认证的目的是为了认出用户是谁,而授权的目的是为了决定用户能够做什么,身份认证实际上就是一个验证凭证的过程。
本篇文章主要解决下面三个问题:
什么是身份认证漏洞?
cookie和session的安全性?
如何防范身份认证漏洞?
二、漏洞简介
Web身份认证通常使用Cookie、Session、Openid、OAuth、SSO、REST等,而其中最常使用的是Cookie和Session。
cookie和session都能够进行会话跟踪,它们的区别在于:
Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中;
Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。
三、漏洞原理
3.1 cookie身份认证漏洞
这种漏洞原理相当简单,因为cookie能够存储用户信息,某些网站的权限验证机制直接读取cookie中的字段来判断权限,所以我们能够直接通过修改cookie中的值来绕过验证。
我编写了一个用于身份识别的简单示例:
具体代码如下:
<?php
session_start();
if(isset($_COOKIE['username']))
{
$username = $_COOKIE['username'];
if($username == root)
echo "<td width='150'><div align='middle'> 欢迎您登录系统".$_SESSION['username']."管理员!</div></td>";
if($username == shiyanlou)
echo "<td width='150'><div align='middle'> 欢迎普通用户shiyanlou".$_SESSION['username']."!</div></td>";
}
echo "<td width='150'><div align='middle'> <a href='logout.php'> 注销</a></div></td>";
?>
可以看到,该页面直接读取cookie中的username字段进行的权限判断,这种方式非常不安全。
接下来我们尝试利用一下这个漏洞:
先使用普通用户登录试试:
按F12抓包获取cookie:
接下来我们修改cookie为root,并将请求发送给服务器:
可以看到,我们此时已经是管理员权限了
3.2 seesionid 固定漏洞
seesionid 固定攻击的核心要点就是让合法用户使用攻击者预先设定的session ID来访问被攻击的应用程序,一旦用户的会话ID被成功固定,攻击者就可以通过此session ID来冒充用户访问应用程序,因为一个session id对浏览器来说就是一个用户。
简单来讲,攻击者要想办法,让某个用户通过他预先选择的session标识符来访问系统,一旦系统接收到了这个用户的请求,并且使用用户传递过来的session标识创建了会话,攻击者就可以使用这个session标识了,也就等于冒充了你的身份。
我们通过下面这个例子来理解一下,有如下代码:
session_start();
if (!isset($_SESSION['count']))
{
$_SESSION['count'] = 0;
}
else
{
$_SESSION['count']++;
}
echo $_SESSION['count'];
该页面在第一次访问的时候,这段代码会输出0, 刷新页面,将输出1。不断刷新的话,输出的数值会不断增大,这意味着每一次请求的值得到了保留,客户端和服务端之间的状态得到了保持。
我们在url中包括预先设定的session标识符, 再通过该url访问网页时,服务器就会根据传递过来的session标识创建会话,比如如下链接:
<a href="http://localhost/codeaudit/verification/session/session.php?PHPSESSID=1234">
click me!
</a>
如果通过这个链接访问目标网站,那么目标网站会根据链接末尾的参数自动生成Session Id,
并且之后即便更换一台电脑或者浏览器之后,再访问通过此链接访问此页面,也会继续使用一开始创建的seesion id进行会话,也就是利用的是之前的那个身份。
我们来看一下在浏览器中访问此页面的效果:
刷新页面,输出数字会不断增大:
之后使用另一台电脑或者另一个浏览器通过该链接访问此页面:(按道理来说,更换电脑和浏览器之后,cookie信息会重新生成,也就是说你是用的另一个身份来访问该页面的,比如你用一台电脑登录淘宝账户之后,你换一台电脑重新加载淘宝主页,这时候是肯定没有登录的。)
可以看到初次访问的输出值不是0,而是在firefox上面浏览器中最后输出值基础上增加了1。这说明你已经侵入了前一次创建的session,虽然你在同一台电脑上,但是这两个不同的浏览器就可以代表两个不同的用户,后者成功冒充成了前者。
四、漏洞防范
4.1 cookie身份认证漏洞防范
单纯的cookie容易被修改,所以我们添加session变量对cookie进行验证,添加的代码如下:
if(isset($_COOKIE['username']))
{
$_SESSION['veri'] = $_COOKIE['username'];
header("location: main.php");
}
用session存储cookie的值,并且session存放在服务端不会被修改。
我们将之前的代码修改之后:
if($_COOKIE['username']==$_SESSION['veri'])#在调用cookie中的值之前,会先使用session对其中的值进行判断,确保未被恶意修改。
{
if($_COOKIE['username'] == root)
echo "<td width='150'><div align='middle'> 欢迎您登录系统".$_COOKIE['username']."管理员!</div></td>";
if($_COOKIE['username'] == shiyanlou)
echo "<td width='150'><div align='middle'> 欢迎普通用户".$_COOKIE['username']."!</div></td>";
}
else
{
echo "<td width='150'><div align='middle'> 无法检测用户权限!</div></td>";
}
这样再使用之前的抓包修改cookie的手段绕过权限就行不通了。
