Web應用程序是通過2種方式來判斷和跟蹤不同用戶的:CookIE或者Session(也叫做會話型Cookie)。其中Cookie是存儲在本地計算機上的,過期時間很長,所以針對Cookie的攻擊手段一般是盜取用戶Cookie然後偽造Cookie冒充該用戶;而Session由於其存在於服務端,隨著會話的注銷而失效(很快過期),往往難於利用。所以一般來說Session認證較之Cookie認證安全。
當然啦,Session難於利用並不等於不能利用,本文將通過一個小小的例子實現一次簡單的HTTP會話劫持。
還是以ASP為例,ASP程序是如何得到客戶端Session的呢?通過抓包可以發現HTTP請求的Cookie字段有個ASPSESSIONIDXXXXXXXX(X是隨機的字母)值,ASP程序就是通過這個值判斷Session的。如果我們得到管理員的ASPSESSIONIDXXXXXXXX及其值,並在這次會話結束之前提交到服務器,那麼我們的身份就是管理員啦!
那怎麼得到Session呢?答案是跨站。因為JavaScript的document.cookie()方法會把Cookie讀出來,當然也包括會話型Cookie。
如果你關注Web安全,相信你一定看到過記錄跨站得到Cookie的腳本程序,我們也需要一個類似的程序,但功能不是記錄,而是立即轉發(因為當前會話隨時可能由於管理員退出而失效)。這個程序可以用ASP、PHP、Perl甚至C來實現,我還是用ASP吧
要寫這個程序,你還必須對要攻擊的程序相當了解,因為你要提交各種請求。那現在先看看本例中被跨站的程序吧。
很榮幸,我選中了WebAdmin 1.4,嘿嘿,自己寫的程序自己肯定最清楚哪裡有漏洞啊。呵呵,簡要介紹一下,WebAdmin是一個ASP.Net下的webshell,使用的Session認證方式,1.4版本的跨站存在於目錄浏覽的URL。
所以我就在src中構造這樣的路徑:“E: 。這段代碼就是把當前cookie作為參數提交給www.0x54.org/test/cc.asp文件。
cc.asp文件內容如下:
該文件目的是獲取管理員Session並利用WebAdmin的文件編輯功能查看222.210.115.125(被攻擊的Web服務器,其實是我本機啦)的E:/MyWeb/webadmin.aspx文件內容並把內容保存到本地的a.txt文件中。數據的提交使用的是ServerXMLHTTP組件,它與XMLHTTP有相似之處,也有異同,具體的可以看看《ServerXMLHTTP vs XMLHTTP》。
准備就緒,先登陸WebAdmin然後再訪問構造好的跨站URL,呵呵,然後去看http://www.***.org/test/a.txt
你也可以試試直接訪問cc.asp,呵呵,生成的a.txt將是一個登陸界面的源文件。
哈哈,現在熱烈慶祝一下本次HTTP會話劫持測試勝利閉幕,總的來說實行一次這樣的攻擊難度還是很大的,不過話又說回來,在技術這塊領域,除了Copy人家的代碼,還有不需要努力就能做好的事情嗎?
作者:木淼鑫
【賽迪網-IT技術報道】本周(2008.4.21-4.27)有一個病毒特別值得注意,它是:“VB木馬點擊器變種ZXY(Trojan.Clicker.Win32.VB.zxy)”病毒。該病毒偽裝成IE浏覽器圖標,欺騙用戶點擊運行,在後台瘋狂點擊黑客指定的網址,這些網址大部分是廣告和商業網站,黑客借此來獲取大量利潤。同時病毒會釋放數十個盜號木馬、病毒等,給用戶帶來很大的安全風險。
本周關注病毒:
VB木馬點擊器變種ZXY(Trojan.Clicker.Win32.VB.zxy) 警惕程度 ★★★
這是個VB語言編寫的木馬點擊器。它會偽裝成一個IE網頁圖標,欺騙用戶點擊運行。通過配置程序修改需要刷新IP流量的網頁地址,並且在後台點擊指定的網址,借以獲取利益,此病毒帶有明顯的商業性質。由於病毒會在系統System32目錄下釋放多個不同的病毒程序,會給手動清除帶來一定難度。
專家建議:
1、建立良好的安全習慣,不要輕易打開可疑的郵件以及通過QQ、MSN等傳來的文件或網址。收到好友發來的文件或網址時,應先詢問對方,確認後再打開;
2、不浏覽不良網站,不隨意下載安裝可疑軟件;
3、安裝專業的殺毒軟件升級到最新版本,並打開郵件和文件監控程序,防止病毒通過電子郵件、MSN及QQ等侵入您的計算機。
(責任編輯:李磊)
作者:木淼鑫
【賽迪網-IT技術報道】從2007年到現在,病毒、木馬、惡意軟件、垃圾郵件等等,開始越來越多的互相勾結,並且也逐漸確立了“利益”這一統一目標。
有了目標,做事也就更專注。現在木馬已經不再漫無目的的大量散發蠕蟲和病毒郵件,開始更有針對性的發起攻擊。
英國國家底層安全中心(NISCC)在一份報告中聲稱:有超過300個政府部門和公司成為郵件病毒攻擊的熱門目標。
這些郵件似乎專門針對商業或經濟部門,並收集敏感或有價值的信息,而不是到處蔓延,僅僅為了自我炫耀。這些攻擊以木馬程序為主,也有指到含木馬文件網頁的鏈接。安裝後,木馬在後台收集用戶名、密碼、系統信息、並掃描硬盤,向遠程黑客的電腦傳送數據和文件。“這些帶毒郵件的主題通常是收件人感興趣的新聞。”報告說,“這事實上是個騙局,使收件人誤以為病毒來源於值得信任的新聞社或政府部門。”
電子郵件安全公司MessageLabs的馬克?森內指出,該報告透露出木馬的新趨勢,即從發送大量無目的帶毒郵件,到向某些特定的有價值目標集中下手。“在以前,人們發現的病毒通常漫無目的的散布大量蠕蟲。”森內說,“但是現在的趨勢是,病毒開始集中進攻特定的組織,並試圖種木馬。”去年,MessageLabs發現該類郵件的數量成倍增長。
另一個值得注意的信息是,“竊取信息正在成為木馬的主要目的”。殺毒公司Sophos的經理裡查德?王說:“NISCC提到的病毒中,一大部分的目的是竊取用戶信息。”但是有關方面表示,這種新趨勢並沒有任何新的技術成分。只要及時升級病毒包,使用最新的殺毒軟件,就能有效避免攻擊。
(責任編輯:李磊)