个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
在研究了 Rails 指南和其他一些资源之后,我想知道对用户 session 的 session 固定攻击实际上是如何发生的。至少我怀疑它是否简单 as depicted here在指南中,攻击者...
1) ...通过登录创建一个有效的 session
2) ...保持 session 活跃
3) ...然后强制用户使用他的 session ID,例如通过使用一些 XSS 漏洞
没问题,但是……攻击者如何收集他自己的 session ID 的值?默认情况下,cookie 在 Rails4+ 中是加密的。那么假设我没有访问 secret_key_base 或用于生成加密和签名 key 的任何内容,作为攻击者该怎么办?据我所知,我无法在不使其失效(签名错误)的情况下篡改 cookie,因此以某种方式将自行创建的 cookie 传递给可能的受害者既不是一种选择。
是 secu 指南不是最新的还是我漏掉了一点?如果是后者那么...
a) [作为攻击者] 我如何读取加密的 cookie 信息
b) 漏洞如何才能让我 [攻击者] 将该 session ID 注入(inject)到另一个客户端上同样加密的 cookie 中?那会是 XSS 攻击吗?该指南指出,如果攻击者使用类似的代码
<script>document.cookie="_session_id=16d5b78abb28e3d6206b60f22a03c8d9";</script>
他也许能够修复那个 session 。但是,为什么 rails 会向客户端显示它是普通 session ,使其可以通过客户端处理的 javascript 访问?它没有,这就是为什么我所有的 cookie 值都是简单的乱码,无法通过 Javascript 访问(可以通过控制台测试),对吧?
感谢您的任何建议!
最佳答案
与其说是 cookie 加密(或签名)。如果没有签名和/或加密,攻击者就不需要求助于将 session 数据存储在 cookie 中的站点的 session 固定;他们可以制作自己的 cookie。
假设攻击者有办法将 cookie 设置 JavaScript 注入(inject)受害者将访问的页面,即 an XSS vulnerability .攻击的结果如下:
攻击者制作恶意 JavaScript,利用 XSS 漏洞,并等待用户访问(或引诱用户)包含恶意 JavaScript 负载的页面。
<script>document.cookie="_appname_session=(...attacker's session cookie...)";</script>
通常您会在 session 中设置一些值来指示用户已通过身份验证。即使像session[:logged_in] = true这样简单,也会改变cookie的值,攻击者将无法访问站点,即使session_id是相同,因为攻击者的 cookie 不包含指示经过身份验证的 session 的附加数据。
这里是这种攻击更可行的地方。其他 session 存储仍然使用 cookie 来保存 session_id,但它们将 session 数据 存储在别处 — 在 cache 中。 , 在 database , 在 memcached等。在这种情况下,当攻击者在受害者通过身份验证后访问站点时,攻击者的 cookie(具有相同的 session_id)将导致 session 被加载。
然而,这次攻击还有另一个主要障碍 — HttpOnly cookies .
Set-Cookie: _appname_session=v%2Ba...; path=/; HttpOnly
当 cookie 被指定为 HttpOnly 时,就像 Rack/Rails session cookie 一样,浏览器不会通过 document.cookies 公开它。 JavaScript 既不能读取也不能覆盖它。我尝试通过 document.cookie 设置一个已知的 session cookie,但除非我先清除现有的 cookie,否则这是不可能的。这意味着攻击者需要一个还没有 session cookie 的用户在登录之前访问带有 XSS 漏洞的页面(需要在没有 session cookie 的页面上)。
关于ruby-on-rails - Rails4 安全 : Session fixation possible at all using encrypted cookies?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41021428/
28
4
0
以下是一个非常简单的ruby服务器。 require 'socket' local_socket = Socket.new(:INET, :STREAM) local_addr = Socket.
我正在使用 OS X(使用 bash),并且是 unix 的新手。我想知道是否可以修改一些文件以便运行 ruby 程序,我不需要“ruby file.rb”,而是可以运行“ruby.rb”。 有理
我在用 Ruby 替换字符串时遇到一些问题。 我的原文:人之所为不如兽之所为。 我想替换为:==What== human does is not like ==what== animal does.
我想在一个循环中从 Ruby 脚本做这样的事情: 写一个文件a.rb(每次迭代都会改变) 执行系统(ruby 'a.rb') a.rb 将带有结果的字符串写入文件“results” a.rb 完成并且
我的问题是尝试创建一个本地服务器,以便我可以理解由我的新团队开发的应用程序。我的问题是我使用的是 Ruby 2.3.3,而 Gemfile 需要 2.3.1。我无法编辑 Gemfile,因为我被告知很
我有一个使用 GLI 框架用 Ruby 编写的命令行实用程序。我想在我的主目录中配置我的命令行实用程序,使用 Ruby 本身作为 DSL 来处理它(类似于 Gemfile 或 Rakefile)。 我
我的 Rails 应用 Controller 中有这段代码: def delete object = model.datamapper_class.first(:sourced_id =>
我正在寻找的解析器应该: 对 Ruby 解析友好, 规则设计优雅, 产生用户友好的解析错误, 用户文档的数量应该比计算器示例多, UPD:允许在编写语法时省略可选的空格。 快速解析不是一个重要的特性。
我刚开始使用 Ruby,听说有一种“Ruby 方式”编码。除了 Ruby on Rails 之外,还有哪些项目适合学习并被认可且设计良好? 最佳答案 Prawn被明确地创建为不仅是一个该死的好 PDF
我知道之前有人问过类似的问题,但是我该如何构建一个无需在前面输入“ruby”就可以在终端中运行的 Ruby 文件呢? 这里的最终目标是创建一个命令行工具包类型的东西。现在,为了执行我希望用户能够执行的
例如哈希a是{:name=>'mike',:age=>27,:gender=>'male'}哈希 b 是 {:name=>'mike'} 我想知道是否有更好的方法来判断 b 哈希是否在 a 哈希内,而
我是一名决定学习 Ruby 和 Ruby on Rails 的 ASP.NET MVC 开发人员。我已经有所了解并在 RoR 上创建了一个网站。在 ASP.NET MVC 上开发,我一直使用三层架构:
最近我看到 Gary Bernhardt 展示了他用来在 vim 中执行 Ruby 代码的 vim 快捷方式。捷径是 :map ,t :w\|:!ruby %. 似乎这个方法总是执行系统 Rub
在为 this question about Blue Ruby 选择的答案中,查克说: All of the current Ruby implementations are compiled to
我有一个 Ruby 数组 > list = Request.find_all_by_artist("Metallica").map(&:song) => ["Nothing else Matters"
我在四舍五入时遇到问题。我有一个 float ,我想将其四舍五入到小数点后的百分之一。但是,我只能使用 .round ,它基本上将它变成一个 int,意思是 2.34.round # => 2. 有没
我使用 ruby on rails 编写了一个小型 Web 应用程序,它的主要目的是上传、存储和显示来自 xml(文件最多几 MB)文件的结果。运行大约 2 个月后,我注意到 mongrel 进程
我们如何用 Ruby 转换像这样的字符串: 𝑙𝑎𝑡𝑜𝑟𝑟𝑒 收件人: Latorre 最佳答案 s = "𝑙𝑎𝑡𝑜𝑟𝑟𝑒" => "𝑙𝑎𝑡𝑜𝑟𝑟𝑒" s.u
通过 ruby monk 时,他们偶尔会从左侧字段中抛出一段语法不熟悉的代码: def compute(xyz) return nil unless xyz xyz.map {|a,
不确定我做错了什么,但我似乎弄错了。 问题是,给你一串空格分隔的数字,你必须返回最大和最小的数字。 注意:所有数字都是有效的 Int32,不需要验证它们。输入字符串中始终至少有一个数字。输出字符串必须
我是一名优秀的程序员,十分优秀!