HTTP cookie的安全性、安全使用方法和攻击防御手段

本文需要读者对计算机网络有大致了解，没有了解也可以，术语会挂上解释链接，但阅读体验就比较差了。 2部分与3部分的解决方案部分有重复，但我认为还是把攻防和开发分开，缺陷与解决结合，比较方便阅读。

Tags: security

via Pocket https://ift.tt/3vpTRkk original site

May 27, 2021 at 02:12PM

Comments

from: github-actions[bot] on: 5/27/2021

HTTP cookie的安全性、安全使用方法和攻击防御手段 by BoHolder

前言

本文将把，截至2019-05-18的，从互联网上搜集到

（“cookie+security”->Google与StartPage前两页结果为源+相关学术文献）的,
有关Cookie标准与用法、cookie安全性的信息，汇总索引，以方便读者学习了解相关信息。

本文需要读者对计算机网络有大致了解，
没有了解也可以，术语会挂上解释链接，但阅读体验就比较差了。

小段英文的翻译交给谷歌处理。

Security risk in design and use and solution

2.Cookie设计与使用中的安全隐患，以及相应改进

Cookie安全性这点，rfc6265中有一整段(8. Security Considerations) 去阐述，
务必读一下，总结的很好，我会跳过那些内容，只给出一个目录以供预览。

分标题

简述

Overview

总览

Ambient Authority

cookie是一种权限凭证

Clear Text

明文传输问题

Session Identifiers

非可读的会话标识符

Weak Confidentiality

cookie在各种层面保密性都弱

Reliance on DNS

cookie的安全性以DNS安全为前提

与其说其设计不周全，不如说cookie因本身位置的限制无法保证设计安全，
rfc还警告开发人员不要把cookie作为唯一的认证环节。

rfc6265: In addition, by default, cookies do not provide confidentiality or integrity
from network attackers, even when used in conjunction with HTTPS.

此外，默认情况下，cookie不会为网络攻击者提供机密性或完整性，
即使与HTTPS结合使用也是如此。

1.服务器只能读取cookie键值对，读不到属性

rfc6265#section-4.2.2 :
Notice that the cookie attributes are not returned.
In particular,the server cannot determine from the Cookie header alone
when a cookie will expire, for which hosts the cookie is valid,
for which paths the cookie is valid, or whether the cookie was set with the Secure or HttpOnly attributes.

rfc6265#section-4.2.2 :
请注意，不返回cookie属性。特别是，当cookie过期时，
服务器无法单独从Cookie标头确定，cookie对哪些主机有效，cookie的路径有效，
或者cookie是否使用Secure或HttpOnly属性设置。

同时在设置cookie时，客户端并不会发回结果反馈。这使得服务器不知道cookie是否被正确设置。
这等于要从数据库读一个不知道是否干净的数据，对数据完整性有影响。

解决：服务器容错与键名“走私（Smuggle）”

大多数情况下，可以用服务器逻辑容错。
OWASPLondon20171130_Cookie_Security_Myths_Misconceptions_David_Johansson
此报告提供了在cookie名里添加“私货”以标识属性的方法，
比如一个cookie设置了属性http-only，名字就加个前缀HTTP_ONLY_。

2. “Domain”“Path”属性影响完整性

rfc6265-两个属性的设置

rfc6265-两个属性在客户端的处理算法

不贴原文了，简单地总结（参照维基）：

`Path` 是指域名|Host下的路径归属。

比如两网站example.com/site1/index.htm,example/com/site2/index.htm，
设置Path属性为/site1,/site2两个值以分离两个目录中的页面的cookie。
有些网站的不同目录是运行不同功能的，比如两个朋友共租一个域名运营博客，用上述方式划分。
通过这种方式可以做到分离两个博客的cookie。

看起来很好，但稍有不慎（或故意为之），就可以用来绕过SOE-同源策略。
比如，设置path成/，好，域名下所有页面都能读该cookie了。

这是一种减少网站开发人员工作量的窍门，也能被攻击者用来做窃取cookie的手段。

`Domain` 是指域名归属。

它和Path属性的缺点差不多类型，设置了Domain的cookie是默认暴露给所有子域名的。
我们都知道，同域名不一定等于同服务器IP，所以攻击者可以劫持域名解析偷cookie。
因为这个原因，实际开发中一般不建议设置Domain属性。

解决：`SameSite` 属性(2016年)&不设置`Domain`属性

`SameSite`

维基#Same-site_cookie:
In 2016 Google Chrome version 51 introduced a new kind of cookie, the same-site cookie,
which can only be sent in requests originating from the same origin as the target domain.
This restriction mitigates attacks such as cross-site request forgery (XSRF).
A cookie is given this characteristic by setting the SameSite flag to Strict or Lax.
google：draft-ietf-httpbis-cookie-same-site

2016年，谷歌Chrome版本51引入了一种新型cookie，即同一站点的cookie，
只能在源自与目标域相同的源的请求中发送。此限制可缓解诸如跨站点请求伪造（XSRF）等攻击。
通过将SameSite标志设置为Strict或Lax，可以为cookie提供此特性。

标准支持：截至撰文时间(2019-05)，

开发支持：查到的是node.js的express、PHP7.3支持，应该还有没搜到的
浏览器支持：几个主流浏览器，的新版本都已支持，不再列举名字。

Browser Compatibility Testing of ‘SameSite’ cookie - LambdaTest

不设置`Domain`属性

Stack over flow-What is a host only cookie?

之所以不设置Domain属性，其实是为了激活host-only-flag，
当host-only-flag被设置，子域名无法访问此cookie。

rfc6265-5.3. Storage Model

3.对cookie的误用

上面算是设计问题，下面是多数文章主要讲的，开发者对cookie的误用。

cookie默认不加密传输，可以在传输中被坏家伙窃听或修改。

解决：设置Secure属性&cookie加密和签名

rfc6265-5.2.5. The Secure Attribute
Secure属性保证cookie只在HTTPS环境下可被传输。

和数据库设计一样，为了保险，应尽量减少数据中非必须的信息量。
cookie值可以是随机生成的字符串（会话凭证）而不是具体信息，
在下次登录时修改，以应对cookie窃取与重放攻击。

rfc6265:
Servers SHOULD encrypt and sign the contents of cookies
(using whatever format the server desires) when transmitting them to the
user agent (even when sending the cookies over a secure channel).

当将服务器传输给用户代理时，服务器应该对cookie的内容进行加密和签名
（使用服务器所需的任何格式）（即使通过安全通道发送cookie）。

解决：设置时加 Http-only-flag ，禁止客户端JS读取cookie。

③错误规划`max-age`、`expires`

rfc6265-The Set-Cookie Header

标准太长，简单总结：
max-age: 类似TTL，以秒计，到时删除。
expires: GMT时间字符串（Wed, 09 Jun 2021 10:18:14 GMT）,到时删除。
max-age 是 expires 的一个补充性属性。没有这两个属性，cookie被视为session cookie 。
cookie保留在客户端的时间越长，被攻击的可能性越高。

Attack on cookies and solution

3.针对cookie窃取的攻击与相应防御

以下所有攻击手段，都能单独拉出来写好多篇技术报告|分享，
很明显本文没有这个篇幅，因此本文征求做到全而不详，并附链接以供详求。

为什么我们要攻击|保护cookie？

这篇文章的一段话讲得不错：

Because the data they contain is, more often than not, extremely sensitive
— cookies are generally used to store session IDs or access tokens,
an attacker’s holy grail.
Once they are exposed or compromised, attackers can impersonate users,
or escalate their privileges on your application.

因为它们包含的数据通常非常敏感 - 通常用于存储会话ID或访问令牌，攻击者的圣杯。
一旦他们暴露或受到攻击，攻击者就可以冒充用户，或者升级他们对您的应用程序的权限。

常见攻击方式

维基百科总结了几种常见的攻击方式，包括攻击过程简介与防御手段，在此不复述，只提供目录。

攻击

防御

MITM

TLS&secureattr

DNS Poisoning

TLS&secureattr

DOM-Based-XSS

http-only-flag&SameSiteattr

反射型XSS+恶意代理服务器

secureattr&SameSiteattr

CSRF

SameSiteattr

还有一类维基没提到的，针对TLS协议的攻击。
TLS协议不是完全安全的，因为设计或实现的缺陷，
已有不少在特定情况下针对TLS的攻击出现，
主要目的是使HTTPS降为“等同于”HTTP的情况（即复原密文为明文），
这不是一个新方向，列举几个比较有名的攻击方式：

非常见方式

非单一的、利用知识组合各种部分的针对cookie的攻击方式，
可惜我只找到一个。

①cookiejacking-Rosario Valotta-2011-05 [link]

该方法利用了IE浏览器的“跨域交互策略”的一个漏洞，
外部HTML的标签可以加载本地cookie文件（本应不能）。<br>恶意服务器通过一系列正常的手段获知用于构造cookie路径的信息，<br>然后通过此漏洞读取cookie，并利用<a href="https://www.securitysift.com/who-do-you-trust-cross-domain-content-extraction-with-clickjacking/" target="_blank" rel="noopener">Clickjacking</a> 手段传输cookie至服务器。<br>因为读的是文件，任何cookie都会被窃取。</p> <p>微软<a href="https://digitizor.com/cookiejacking-patch/" target="_blank" rel="noopener">6月</a> 给这个漏洞打了补丁。<br>至于Clickjacking，<code>x-frame-options</code><a href="https://www.keycdn.com/blog/x-frame-options" target="_blank" rel="noopener">(XFO)</a> 可以防止。</p> <h2 id="Academic-discussion-about-cookies"><a href="#Academic-discussion-about-cookies" class="headerlink" title="Academic discussion about cookies"></a><a href="https://boholder.github.io/#academic-discussion-about-cookies" target="_blank" rel="noopener"></a><a href="https://boholder.github.io/#contents:academic-discussion-about-cookies" target="_blank" rel="noopener">Academic discussion about cookies</a></h2><p><strong>关于cookie的学术讨论</strong></p> <p>本来想把理论方面作为2、3段的添头，没想到专家们已经在纸头上打过一两轮攻防了。<br>故单开此段，索引几个我觉得有意思的学术文献。</p> <h3 id="cookie-masking-cookie-掩盖"><a href="#cookie-masking-cookie-掩盖" class="headerlink" title="cookie masking-cookie 掩盖"></a><a href="https://boholder.github.io/#cookie-masking-cookie-%E6%8E%A9%E7%9B%96" target="_blank" rel="noopener"></a><a href="https://boholder.github.io/#contents:cookie-masking-cookie-%E6%8E%A9%E7%9B%96" target="_blank" rel="noopener">cookie masking-cookie 掩盖</a></h3><blockquote> <p><a href="https://dl.acm.org/citation.cfm?id=2714592" target="_blank" rel="noopener">TLS Record Protocol: Security Analysis and<br>Defense-in-depth Countermeasures for HTTPS</a><br>Author: Olivier Levillain etc<br>Time: 2015</p> </blockquote> <p>这个研究总结了针对TLS记录协议的5个攻击方式，并给出了两个cookie掩盖方式：<br>TLS Scramble & MCookies，以保证在意外导致HTTP明文传输的情况下，<br>继续保持cookie等秘密信息机密性。</p> <blockquote> <p><a href="https://link.springer.com/article/10.1007%2Fs12095-018-0280-y" target="_blank" rel="noopener">Statistical attacks on cookie masking for RC4</a><br>Author: Kenneth G. PatersonEmail author etc<br>Time: 2018-02</p> </blockquote> <p>该文验证了上篇文章两种掩盖方式理论上可被加大提供算力后破解，<br>因此该掩盖方式只能提供不强的机密性。</p> <h3 id="测信道攻击"><a href="#测信道攻击" class="headerlink" title="测信道攻击"></a><a href="https://boholder.github.io/#%E6%B5%8B%E4%BF%A1%E9%81%93%E6%94%BB%E5%87%BB" target="_blank" rel="noopener"></a><a href="https://boholder.github.io/#contents:%E6%B5%8B%E4%BF%A1%E9%81%93%E6%94%BB%E5%87%BB" target="_blank" rel="noopener">测信道攻击</a></h3><blockquote> <p><a href="https://link.springer.com/chapter/10.1007/978-3-319-89641-0_11" target="_blank" rel="noopener">Path Leaks of HTTPS Side-Channel by Cookie Injection</a><br>Author: Fuqing Chen etc<br>Time: 2018-04</p> </blockquote> <p>该文阐述了一种攻击方式和两种应用方面：<br>利用cookie的弱同源策略（上文有提），实施cookie注入，<br>用注入的cookie来推断敏感信息，进而复原一部分密文（比如请求的URL）。<br>没看完，大概是利用当时浏览器的cookie路径匹配的算法的一个缺陷。</p> <blockquote> <p><a href="https://link.springer.com/chapter/10.1007/978-3-662-47854-7_6" target="_blank" rel="noopener">Protecting Encrypted Cookies from<br>Compression Side-Channel Attacks</a><br>Author: Janaka Alawatugoda etc<br>Time: 2015-07</p> </blockquote> <p>有那么两种对TLS的攻击：<a href="https://blog.qualys.com/ssllabs/2012/09/14/crime-information-leakage-attack-against-ssltls" target="_blank" rel="noopener">CRIME</a> 和 <a href="http://breachattack.com/" target="_blank" rel="noopener">BREACH</a> （上文有提）,<br>它们基于传输前压缩过程中产生的额外信息量，复现敏感信息，<br>针对它们的常规解决方法是禁止传输中压缩，<br>这意味着加大使用带宽资源。<br>该文阐述了两种新的压缩方式，用于实现压缩并保护机密信息的功能。</p> <h2 id="Summary"><a href="#Summary" class="headerlink" title="Summary"></a><a href="https://boholder.github.io/#summary" target="_blank" rel="noopener"></a><a href="https://boholder.github.io/#contents:summary" target="_blank" rel="noopener">Summary</a></h2><p><strong>总结</strong></p> <p>首先，关于此文，不包括素材阅读的，纯搜索时间，大概只有2小时多，<br>因此即使是截至2019-05，此文大概还是遗漏了许多值得一提的部分，请读者海涵。</p> <p>其次，经过编写此文，作者对cookie的认识有了很大变化，认清了cookie能力是很有限的，<br>以后编写web服务也会注意cookie的正确运用。希望各位读者也能从此文中学到知识。</p> </div> <footer class="post-footer"> <div class="post-tags"> <a href="/tags/fetched/" rel="tag"># fetched</a> </div> <div class="post-nav"> <div class="post-nav-item"> <a href="/2021/05/27/qiwihui-pocket_readings-1117/" rel="prev" title="译文：从源码中学习（阅读源码，初学者的有效成长方式）"> <i class="fa fa-chevron-left"></i> 译文：从源码中学习（阅读源码，初学者的有效成长方式） </a></div> <div class="post-nav-item"> <a href="/2021/05/27/qiwihui-pocket_readings-1119/" rel="next" title="web安全目录遍历漏洞学习及绕过 - FreeBuf网络安全行业门户"> web安全目录遍历漏洞学习及绕过 - FreeBuf网络安全行业门户 <i class="fa fa-chevron-right"></i> </a></div> </div> </footer> </article> </div> <script> window.addEventListener('tabs:register', () => { let { activeClass } = CONFIG.comments; if (CONFIG.comments.storage) { activeClass = localStorage.getItem('comments_active') || activeClass; } if (activeClass) { let activeTab = document.querySelector(`a[href="#comment-${activeClass}"]`); if (activeTab) { activeTab.click(); } } }); if (CONFIG.comments.storage) { window.addEventListener('tabs:click', event => { if (!event.target.matches('.tabs-comment .tab-content .tab-pane')) return; let commentClass = event.target.classList[1]; localStorage.setItem('comments_active', commentClass); }); } </script> </div> <div class="toggle sidebar-toggle"> <span class="toggle-line toggle-line-first"></span> <span class="toggle-line toggle-line-middle"></span> <span class="toggle-line toggle-line-last"></span> </div> <aside class="sidebar"> <div class="sidebar-inner"> <ul class="sidebar-nav motion-element"> <li class="sidebar-nav-toc"> Table of Contents </li> <li class="sidebar-nav-overview"> Overview </li> </ul>  <div class="post-toc-wrap sidebar-panel"> <div class="post-toc motion-element"><ol class="nav"><li class="nav-item nav-level-3"><a class="nav-link" href="#Comments"><span class="nav-number">1.</span> <span class="nav-text">Comments</span></a></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#HTTP-cookie的安全性、安全使用方法和攻击防御手段-by-BoHolder"><span class="nav-number"></span> <span class="nav-text">HTTP cookie的安全性、安全使用方法和攻击防御手段 by BoHolder</span></a></li><li class="nav-item nav-level-2"><a class="nav-link" href="#前言"><span class="nav-number"></span> <span class="nav-text">前言</span></a></li><li class="nav-item nav-level-2"><a class="nav-link" href="#目录"><span class="nav-number"></span> <span class="nav-text">目录</span></a></li><li class="nav-item nav-level-2"><a class="nav-link" href="#What-is-cookie"><span class="nav-number"></span> <span class="nav-text">What is cookie</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#定义"><span class="nav-number">1.</span> <span class="nav-text">定义</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#格式-amp-用法"><span class="nav-number">2.</span> <span class="nav-text">格式&用法</span></a></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#Security-risk-in-design-and-use-and-solution"><span class="nav-number"></span> <span class="nav-text">Security risk in design and use and solution</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#1-服务器只能读取cookie键值对，读不到属性"><span class="nav-number">1.</span> <span class="nav-text">1.服务器只能读取cookie键值对，读不到属性</span></a><ol class="nav-child"><li class="nav-item nav-level-4"><a class="nav-link" href="#解决：服务器容错与键名“走私（Smuggle）”"><span class="nav-number">1.1.</span> <span class="nav-text">解决：服务器容错与键名“走私（Smuggle）”</span></a></li></ol></li><li class="nav-item nav-level-3"><a class="nav-link" href="#2-“Domain”“Path”属性影响完整性"><span class="nav-number">2.</span> <span class="nav-text">2. “Domain”“Path”属性影响完整性</span></a><ol class="nav-child"><li class="nav-item nav-level-4"><a class="nav-link" href="#Path-是指域名-Host下的路径归属。"><span class="nav-number">2.1.</span> <span class="nav-text">Path 是指域名|Host下的路径归属。</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#Domain-是指域名归属。"><span class="nav-number">2.2.</span> <span class="nav-text">Domain 是指域名归属。</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#解决：SameSite-属性-2016年-amp-不设置Domain属性"><span class="nav-number">2.3.</span> <span class="nav-text">解决：SameSite 属性(2016年)&不设置Domain属性</span></a><ol class="nav-child"><li class="nav-item nav-level-5"><a class="nav-link" href="#SameSite"><span class="nav-number">2.3.1.</span> <span class="nav-text">SameSite</span></a></li><li class="nav-item nav-level-5"><a class="nav-link" href="#不设置Domain属性"><span class="nav-number">2.3.2.</span> <span class="nav-text">不设置Domain属性</span></a></li></ol></li></ol></li><li class="nav-item nav-level-3"><a class="nav-link" href="#3-对cookie的误用"><span class="nav-number">3.</span> <span class="nav-text">3.对cookie的误用</span></a><ol class="nav-child"><li class="nav-item nav-level-4"><a class="nav-link" href="#①http-明文传递-cookie"><span class="nav-number">3.1.</span> <span class="nav-text">①http 明文传递 cookie</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#②cookie-默认可被客户端API-JS-etc-读取"><span class="nav-number">3.2.</span> <span class="nav-text">②cookie 默认可被客户端API(JS etc)读取</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#③错误规划max-age、expires"><span class="nav-number">3.3.</span> <span class="nav-text">③错误规划max-age、expires</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#解决：谨慎设计max-age、expires的值"><span class="nav-number">3.4.</span> <span class="nav-text">解决：谨慎设计max-age、expires的值</span></a></li></ol></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#Attack-on-cookies-and-solution"><span class="nav-number"></span> <span class="nav-text">Attack on cookies and solution</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#为什么我们要攻击-保护cookie？"><span class="nav-number">1.</span> <span class="nav-text">为什么我们要攻击|保护cookie？</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#常见攻击方式"><span class="nav-number">2.</span> <span class="nav-text">常见攻击方式</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#非常见方式"><span class="nav-number">3.</span> <span class="nav-text">非常见方式</span></a><ol class="nav-child"><li class="nav-item nav-level-4"><a class="nav-link" href="#①cookiejacking-Rosario-Valotta-2011-05-link"><span class="nav-number">3.1.</span> <span class="nav-text">①cookiejacking-Rosario Valotta-2011-05[link]</span></a></li></ol></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#Academic-discussion-about-cookies"><span class="nav-number"></span> <span class="nav-text">Academic discussion about cookies</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#cookie-masking-cookie-掩盖"><span class="nav-number">1.</span> <span class="nav-text">cookie masking-cookie 掩盖</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#测信道攻击"><span class="nav-number">2.</span> <span class="nav-text">测信道攻击</span></a></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#Summary"><span class="nav-number"></span> <span class="nav-text">Summary</span></a></div> </div>  <div class="site-overview-wrap sidebar-panel"> <div class="site-author motion-element" itemprop="author" itemscope itemtype="http://schema.org/Person"> <p class="site-author-name" itemprop="name">qiwihui</p> <div class="site-description" itemprop="description">个人阅读清单记录博客，并不代表个人观点。</div> </div> <div class="site-state-wrap motion-element"> <nav class="site-state"> <div class="site-state-item site-state-posts"> <a href="/archives/"> <span class="site-state-item-count">144</span> <span class="site-state-item-name">posts</span> </a> </div> <div class="site-state-item site-state-categories"> <span class="site-state-item-count">1</span> <span class="site-state-item-name">categories</span> </div> <div class="site-state-item site-state-tags"> <span class="site-state-item-count">1</span> <span class="site-state-item-name">tags</span> </div> </nav> </div> </div> </div> </aside> <div id="sidebar-dimmer"></div> </div> </main> <footer class="footer"> <div class="footer-inner"> <div class="copyright"> © <span itemprop="copyrightYear">2021</span> <span class="with-love"> <i class="fa fa-user"></i> </span> <span class="author" itemprop="copyrightHolder">qiwihui</span> </div> <div class="powered-by">Powered by <a href="https://hexo.io/" class="theme-link" rel="noopener" target="_blank">Hexo</a> & <a href="https://muse.theme-next.org/" class="theme-link" rel="noopener" target="_blank">NexT.Muse</a> </div> </div> </footer> </div> <script src="/lib/anime.min.js"></script> <script src="/lib/velocity/velocity.min.js"></script> <script src="/lib/velocity/velocity.ui.min.js"></script> <script src="/js/utils.js"></script> <script src="/js/motion.js"></script> <script src="/js/schemes/muse.js"></script> <script src="/js/next-boot.js"></script> </body> </html>

Pocket Readings