web前端利用HSTS(新的Web安全协议HTTP Strict Transport Security)漏洞的超级Cookie(HSTS Super Cookie)
web前端如果想实现cookie跨站点,跨浏览器,清除浏览器cookie该cookie也不会被删除这似乎有点难,下面的教程让你完全摆脱document.cookie
1、服务器端设置HSTS
如PHP:
<?php header("Strict-Transport-Security: max-age=31536000; includeSubDomains");?>includeSubDomains必不可少,因为Super Cookie要用到很多子域名(Super Cookie必备条件,最好32个)。
demo用到的子域名:*-hsts-lab.radicalresearch.co.uk 如 1-hsts-lab.radicalresearch.co.uk,2-hsts-lab.radicalresearch.co.uk 等,demo用到32个子域名 到32-hsts-lab.radicalresearch.co.uk
<?php //根据请求输出不同header //header("Strict-Transport-Security: max-age=31536000; includeSubDomains")或者header("Strict-Transport-Security: max-age=0; includeSubDomains")
//下面这个1是必须输出的值,cb回调函数里会用到
echo 1;
?>
2、开启或关闭HSTS
子域名设置HSTS 状态头:
https://13-hsts-lab.radicalresearch.co.uk/hsts/set/1
在浏览器里打开上面URL,如下图:
上面会有个Strict-Transport-Security的头,max-age=31436000 注意此时max-age不为0,表示HSTS开启了
再打开https://13-hsts-lab.radicalresearch.co.uk/hsts/set/0
此时max-age=0,HSTS失效被关闭了
这个13-hsts-lab.radicalresearch.co.ukhttps://13-hsts-lab.radicalresearch.co.uk/hsts/set/0
服务器根据url判断HSTS输出哪种Strict-Transport-Security头
如HSTS开启:<?php header("Strict-Transport-Security: max-age=31536000; includeSubDomains");?>
HSTS关闭:<?php header("Strict-Transport-Security: max-age=0; includeSubDomains");?>
这里面还有个关键点是,开启和关闭HSTS必须要用https协议,即在浏览器里打开的时候https://13-hsts-lab.radicalresearch.co.uk/hsts/set/0,协议必须是https,这跟HSTS的特性有关。
所有子域名(1-32)服务器端除了输出 headerStrict-Transport-Security是否开启外,还都输出1值
3、Super Cookie利用的关键点: 如果我们事先设置了第13个子域名的HSTS的状态开启了,并且在当前浏览器访问过该子域名、或者脚本动态加载过,如浏览器访问过:
https://13-hsts-lab.radicalresearch.co.uk/hsts/set/1
http://13-hsts-lab.radicalresearch.co.uk/hsts/get 我们会发现http会自动被浏览器重定向到 https:
//13-hsts-lab.radicalresearch.co.uk/hsts/get
这里特别关键,如果这理解不了,那么HSTS Super Cookie 就无法理解了。
相反如果
https://13-hsts-lab.radicalresearch.co.uk/hsts/set/0 你设置我们再来访问下http://beta.tfxiq.com/sc.html,打开控制台下的network,会发现很多跳转丢失:
这里跳转丢失的原因是因为该子域名下HSTS服务器端开启了,因为你之前用https访问过该域名,并且开启了HSTS,那么后续的所有访问都会被强制跳转到https;
跳转丢失的response也是没有任何返回的,代码就利用到了这一点。
跳转丢失的response也是没有任何返回的,代码就利用到了这一点。
4、实现原理:
拿http://beta.tfxiq.com/sc.html
按照12进制值00000100001110111000010101101111从左到右的顺序,url最右边的/0或者/1按顺序对应12进制
步骤1: 在
步骤2: 在
步骤3: 在
步骤4: 在
步骤5: 在
步骤6: 在
步骤7: 在
步骤8: 在
步骤9: 在
步骤10: 在
步骤11: 在
步骤12: 在
步骤13: 在
步骤14: 在
步骤15: 在
步骤16: 在
步骤17: 在
步骤18: 在
步骤19: 在
步骤20: 在
步骤21: 在
步骤22: 在
步骤23: 在
步骤24: 在
步骤25: 在
步骤26: 在
步骤27: 在
步骤28: 在
步骤29: 在
步骤30: 在
步骤31: 在
步骤32: 在
上面32个步骤,都是根据二进制00000100001110111000010101101111从左到右的顺序,设置了HSTS对应的开启状态,0:关,1:开
保存cookie的 url必须协议是https,原因上面提过,再提一遍,因为开启了HSTS协议,并且通过https加载过该子域名下的任何资源,当再通过http访问任何资源,会发生页面跳转,跳转到https安全协议对应的url.
当然代码在beta.tfxiq.com/superCookie.js中是通过循环动态在head中插入一个script 来模拟浏览器子域名开启和关闭HSTS的
读取cookie:
步骤1: 在
上面32个步骤在superCookie.js中也是通过循环在head中加载script,我们会发现设置Cookie和读取Cookie返回的二进制是一致的,都是00000100001110111000010101101111,00000100001110111000010101101111再转换成71009647,71009647再转换成页面显示的36进制:169ze7
使用32个站点的原因是相当于32位二进制,可以识别20亿个客户端。
拿http://beta.tfxiq.com/sc.html
为例,当前chrome客户端要保存一个71009647的 cookie值, 71009647的36进制为:169ze7(页面显示值),二进制00000100001110111000010101101111,前面4位黑的0是为了凑全32位。
保存cookie:
保存cookie:
按照12进制值00000100001110111000010101101111从左到右的顺序,url最右边的/0或者/1按顺序对应12进制
步骤1: 在
https://1-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤2: 在
https://2-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤3: 在
https://3-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤4: 在
https://4-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤5: 在
https://5-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤6: 在
https://6-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤7: 在
https://7-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤8: 在
https://8-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤9: 在
https://9-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤10: 在
https://10-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤11: 在
https://11-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤12: 在
https://12-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤13: 在
https://13-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤14: 在
https://14-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤15: 在
https://15-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤16: 在
https://16-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤17: 在
https://17-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤18: 在
https://18-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤19: 在
https://19-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤20: 在
https://20-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤21: 在
https://21-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤22: 在
https://22-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤23: 在
https://23-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤24: 在
https://24-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤25: 在
https://25-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤26: 在
https://26-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤27: 在
https://27-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤28: 在
https://28-hsts-lab.radicalresearch.co.uk/hsts/set/0 步骤29: 在
https://29-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤30: 在
https://30-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤31: 在
https://31-hsts-lab.radicalresearch.co.uk/hsts/set/1 步骤32: 在
https://32-hsts-lab.radicalresearch.co.uk/hsts/set/1 上面32个步骤,都是根据二进制00000100001110111000010101101111从左到右的顺序,设置了HSTS对应的开启状态,0:关,1:开
保存cookie的 url必须协议是https,原因上面提过,再提一遍,因为开启了HSTS协议,并且通过https加载过该子域名下的任何资源,当再通过http访问任何资源,会发生页面跳转,跳转到https安全协议对应的url.
当然代码在beta.tfxiq.com/superCookie.js中是通过循环动态在head中插入一个script 来模拟浏览器子域名开启和关闭HSTS的
读取cookie:
步骤1: 在
http://1-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['1'](!1) 这个域名HSTS关闭,不跳转,response结果为上面php脚本输出的1,cb回调函数里的参数值取1的反值,相当于0,对应00000100001110111000010101101111的左边第一位0
步骤2: 在
步骤3: 在
步骤4: 在
步骤5: 在
步骤6: 在
步骤7: 在
.
.
.
.
等等
步骤2: 在
http://2-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['2'](!1)步骤3: 在
http://3-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['3'](!1步骤4: 在
http://4-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['4'](!1步骤5: 在
http://5-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['5'](!null步骤6: 在
http://6-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['6'](!null)步骤7: 在
http://7-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['7'](!.
.
.
.
等等
.
.
.
步骤32: 在
所有response值都是取反的
最后 汇总response的 数据 等于二进制00000100001110111000010101101111
步骤32: 在
http://32-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['32'](!null)所有response值都是取反的
最后 汇总response的 数据 等于二进制00000100001110111000010101101111
上面32个步骤在superCookie.js中也是通过循环在head中加载script,我们会发现设置Cookie和读取Cookie返回的二进制是一致的,都是00000100001110111000010101101111,00000100001110111000010101101111再转换成71009647,71009647再转换成页面显示的36进制:169ze7
使用32个站点的原因是相当于32位二进制,可以识别20亿个客户端。
缺点:
1、每次读取cookie都需要访问32次子域名,
优点:
跨站点、浏览器关闭或者清除cookie也删除不了该 HSTS super cookie
1、每次读取cookie都需要访问32次子域名,
存取cookie的时候也要加载32次script,开销大、读取cookie速度慢
2、作为一个安全漏洞,以后各大浏览器厂商估计会修复这个bug
2、作为一个安全漏洞,以后各大浏览器厂商估计会修复这个bug
优点:
跨站点、浏览器关闭或者清除cookie也删除不了该 HSTS super cookie
上面的解释有点啰嗦,简洁的说是 利用HSTS的漏洞,32个子域名为数据库(
每个子域名代表1或者0,组合起来就是一个unique值),进行数据的存入和读出。
superCookie.js
(function(n, t, i, r, u) {
n[i] = n[i] || new function() {
function y(n) {
var t = (e.index++).toString(36);
return e[t] = function() {
return delete e[t], n.apply(null, arguments);
}, "window['" + i + "']._['" + t + "']";
}
function p(t, i) {
var u, r;
if (n.push({
i:t,
b:i
}), n.length >= f) {
for (u = 0, r = 0; r < f; ++r) n[r].b && (u |= 1 << n[r].i);
return u & 2147483647;
}
return !1;
}
function h(n, t, i) {
var r = p(t, i);
r !== !1 && n(r);
}
function c(t) {
return n.push(!0) >= f ? (t(), !0) :!1;
}
function w(t) {
n = [];
for (var i = 0; i < f; i++) a(i, h.bind(this, t, i), h.bind(this, t, i, !1));
}
function b(t, i) {
var u, r;
for (n = [], u = t | -2147483648, r = 0; r < f; r++) {
d(u >> r & 1, r, c.bind(this, i), c.bind(this, i));
}
}
function k(n) {
var t = f - 1;
a(t, l.bind(this, n, t), l.bind(this, n, t, !1));
}
function l(n, t, i) {
n(!!i);
}
function a(n, t, i) {
var r = "http://" + n.toString(16) + o + s + "/hsts/get";
v(r, t, i);
}
function d(n, t, i, r) {
var u = "https://" + t.toString(16) + o + s + "/hsts/set/" + n;
v(u, i, r);
}
function v(n, i, f) {
i && (n += (n.indexOf("?") === -1 ? "?" :"&") + "cb=" + y(i));
var e = t.createElement(r), o = t.getElementsByTagName(r)[0], s = o.getAttribute(u);
e.setAttribute(u, s);
e.onerror = f;
e.async = 1;
e.src = n;
o.parentNode.insertBefore(e, o);
}
var o = "-hsts-lab.", s = "radicalresearch.co.uk", f = 32, n = [], e = {
index:0
};
return {
_:e,
test:k,
read:w,
write:b
};
}();
})(window, document, "hsts", "script", "nonce"),
function(n, t, i) {
function u(n) {
for (var i = t.getElementById("hstsValue"); i.firstChild; ) i.removeChild(i.firstChild);
i.appendChild(t.createTextNode(n));
}
function r(n) {
for (var i = t.getElementById("hstsState"); i.firstChild; ) i.removeChild(i.firstChild);
i.appendChild(t.createTextNode(n));
}
function f() {
r("reading...");
n[i].read(function(n) {
r("Your tracking id was read.");
u(n.toString(36));
});
}
function e() {
r("writing...");
//var t = Math.floor(Math.random() * 2147483647);
var t=71009647;
n[i].write(t, function() {
r("Your tracking id was set.");
u(t.toString(36));
});
}
n.location.protocol !== "http:" ? n.location.replace(n.location.href.replace(/^[^:]+:/, "http:")) :(r("checking..."),
n[i].test(function(n) {
n ? f() :e();
}));
}(window, document, "hsts");
demo页面 sc.html:
<!DOCTYPE html>
<html>
<head lang="en">
<meta charset="UTF-8">
</head>
<body>
<p class="hstsDemo">
<span id="hstsState"></span>
<code id="hstsValue"></code>
</p>
</body>
<script type="text/javascript" src="superCookie.js"></script>
</html>
大家可以将代码拷贝下来运行下。
此为原创,如果想转载请注明出处
