攻防戰：實現Http會話劫持的方法

　　Web應用程序是通過2種方式來判斷和跟蹤不同用戶的：CookIE或者Session(也叫做會話型Cookie)。其中Cookie是存儲在本地計算機上的，過期時間很長，所以針對Cookie的攻擊手段一般是盜取用戶Cookie然後偽造Cookie冒充該用戶;而Session由於其存在於服務端，隨著會話的注銷而失效(很快過期)，往往難於利用。所以一般來說Session認證較之Cookie認證安全。

　　當然啦，Session難於利用並不等於不能利用，本文將通過一個小小的例子實現一次簡單的HTTP會話劫持。

　　還是以ASP為例，ASP程序是如何得到客戶端Session的呢?通過抓包可以發現HTTP請求的Cookie字段有個ASPSESSIONIDXXXXXXXX(X是隨機的字母)值，ASP程序就是通過這個值判斷Session的。如果我們得到管理員的ASPSESSIONIDXXXXXXXX及其值，並在這次會話結束之前提交到服務器，那麼我們的身份就是管理員啦!

　　那怎麼得到Session呢?答案是跨站。因為JavaScript的document.cookie()方法會把Cookie讀出來，當然也包括會話型Cookie。

　　如果你關注Web安全，相信你一定看到過記錄跨站得到Cookie的腳本程序，我們也需要一個類似的程序，但功能不是記錄，而是立即轉發(因為當前會話隨時可能由於管理員退出而失效)。這個程序可以用ASP、PHP、Perl甚至C來實現，我還是用ASP吧

　　要寫這個程序，你還必須對要攻擊的程序相當了解，因為你要提交各種請求。那現在先看看本例中被跨站的程序吧。

　　很榮幸，我選中了WebAdmin 1.4，嘿嘿，自己寫的程序自己肯定最清楚哪裡有漏洞啊。呵呵，簡要介紹一下，WebAdmin是一個ASP.Net下的webshell，使用的Session認證方式，1.4版本的跨站存在於目錄浏覽的URL。

　　所以我就在src中構造這樣的路徑：“E: 。這段代碼就是把當前cookie作為參數提交給www.0x54.org/test/cc.asp文件。

　　cc.asp文件內容如下：

　　該文件目的是獲取管理員Session並利用WebAdmin的文件編輯功能查看222.210.115.125(被攻擊的Web服務器，其實是我本機啦)的E:/MyWeb/webadmin.aspx文件內容並把內容保存到本地的a.txt文件中。數據的提交使用的是ServerXMLHTTP組件，它與XMLHTTP有相似之處，也有異同，具體的可以看看《ServerXMLHTTP vs XMLHTTP》。

　　准備就緒，先登陸WebAdmin然後再訪問構造好的跨站URL，呵呵，然後去看http://www.***.org/test/a.txt

　　你也可以試試直接訪問cc.asp，呵呵，生成的a.txt將是一個登陸界面的源文件。 

　　哈哈，現在熱烈慶祝一下本次HTTP會話劫持測試勝利閉幕，總的來說實行一次這樣的攻擊難度還是很大的，不過話又說回來，在技術這塊領域，除了Copy人家的代碼，還有不需要努力就能做好的事情嗎?

　　作者：木淼鑫

　　【賽迪網-IT技術報道】本周(2008.4.21-4.27)有一個病毒特別值得注意，它是：“VB木馬點擊器變種ZXY(Trojan.Clicker.Win32.VB.zxy)”病毒。該病毒偽裝成IE浏覽器圖標，欺騙用戶點擊運行，在後台瘋狂點擊黑客指定的網址，這些網址大部分是廣告和商業網站，黑客借此來獲取大量利潤。同時病毒會釋放數十個盜號木馬、病毒等，給用戶帶來很大的安全風險。

　　本周關注病毒：

　　VB木馬點擊器變種ZXY(Trojan.Clicker.Win32.VB.zxy) 警惕程度 ★★★

　　這是個VB語言編寫的木馬點擊器。它會偽裝成一個IE網頁圖標，欺騙用戶點擊運行。通過配置程序修改需要刷新IP流量的網頁地址，並且在後台點擊指定的網址，借以獲取利益，此病毒帶有明顯的商業性質。由於病毒會在系統System32目錄下釋放多個不同的病毒程序，會給手動清除帶來一定難度。

　　專家建議：

　　1、建立良好的安全習慣，不要輕易打開可疑的郵件以及通過QQ、MSN等傳來的文件或網址。收到好友發來的文件或網址時，應先詢問對方，確認後再打開；

　　2、不浏覽不良網站，不隨意下載安裝可疑軟件；

　　3、安裝專業的殺毒軟件升級到最新版本，並打開郵件和文件監控程序，防止病毒通過電子郵件、MSN及QQ等侵入您的計算機。

　　(責任編輯：李磊)

　　作者：木淼鑫

　　【賽迪網-IT技術報道】從2007年到現在，病毒、木馬、惡意軟件、垃圾郵件等等，開始越來越多的互相勾結，並且也逐漸確立了“利益”這一統一目標。

　　有了目標，做事也就更專注。現在木馬已經不再漫無目的的大量散發蠕蟲和病毒郵件，開始更有針對性的發起攻擊。

　　英國國家底層安全中心(NISCC)在一份報告中聲稱：有超過300個政府部門和公司成為郵件病毒攻擊的熱門目標。

　　這些郵件似乎專門針對商業或經濟部門，並收集敏感或有價值的信息，而不是到處蔓延，僅僅為了自我炫耀。這些攻擊以木馬程序為主，也有指到含木馬文件網頁的鏈接。安裝後，木馬在後台收集用戶名、密碼、系統信息、並掃描硬盤，向遠程黑客的電腦傳送數據和文件。“這些帶毒郵件的主題通常是收件人感興趣的新聞。”報告說，“這事實上是個騙局，使收件人誤以為病毒來源於值得信任的新聞社或政府部門。”

　　電子郵件安全公司MessageLabs的馬克?森內指出，該報告透露出木馬的新趨勢，即從發送大量無目的帶毒郵件，到向某些特定的有價值目標集中下手。“在以前，人們發現的病毒通常漫無目的的散布大量蠕蟲。”森內說，“但是現在的趨勢是，病毒開始集中進攻特定的組織，並試圖種木馬。”去年，MessageLabs發現該類郵件的數量成倍增長。

　　另一個值得注意的信息是，“竊取信息正在成為木馬的主要目的”。殺毒公司Sophos的經理裡查德?王說：“NISCC提到的病毒中，一大部分的目的是竊取用戶信息。”但是有關方面表示，這種新趨勢並沒有任何新的技術成分。只要及時升級病毒包，使用最新的殺毒軟件，就能有效避免攻擊。

　　(責任編輯：李磊)