From 1a3a7ddfc165c0e827001e7edf447d14b8d02ce5 Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 18 May 2025 03:21:24 +0000 Subject: [PATCH] Translated ['src/pentesting-web/hacking-with-cookies/README.md'] to zh --- .../hacking-with-cookies/README.md | 41 ++++++++++--------- 1 file changed, 21 insertions(+), 20 deletions(-) diff --git a/src/pentesting-web/hacking-with-cookies/README.md b/src/pentesting-web/hacking-with-cookies/README.md index 3eedf8712..9df66aa19 100644 --- a/src/pentesting-web/hacking-with-cookies/README.md +++ b/src/pentesting-web/hacking-with-cookies/README.md @@ -93,7 +93,7 @@ cookie-jar-overflow.md
-或者在 PHP 中,可以在 cookie 名称的开头添加 **其他字符**,这些字符将被 **替换为下划线**,允许覆盖 `__HOST-` cookies: +或者在 PHP 中,可以在 cookie 名称的开头添加 **其他字符**,这些字符将被 **替换为下划线** 字符,从而允许覆盖 `__HOST-` cookies:
@@ -113,7 +113,7 @@ cookie-jar-overflow.md 在这种情况下,攻击者诱使受害者使用特定的 cookie 登录。如果应用程序在登录时不分配新 cookie,攻击者持有原始 cookie,可以冒充受害者。此技术依赖于受害者使用攻击者提供的 cookie 登录。 -如果您在子域中发现 **XSS** 或您 **控制一个子域**,请阅读: +如果您在 **子域中发现了 XSS** 或您 **控制一个子域**,请阅读: {{#ref}} cookie-tossing.md @@ -123,7 +123,7 @@ cookie-tossing.md 在这里,攻击者说服受害者使用攻击者的会话 cookie。受害者相信他们已登录自己的帐户,将无意中在攻击者的帐户上下文中执行操作。 -如果您在子域中发现 **XSS** 或您 **控制一个子域**,请阅读: +如果您在 **子域中发现了 XSS** 或您 **控制一个子域**,请阅读: {{#ref}} cookie-tossing.md @@ -133,7 +133,7 @@ cookie-tossing.md 点击上面的链接访问解释 JWT 可能存在缺陷的页面。 -用于 cookie 的 JSON Web Tokens (JWT) 也可能存在漏洞。有关潜在缺陷及其利用方式的详细信息,建议访问有关黑客 JWT 的链接文档。 +用于 cookie 的 JSON Web Tokens (JWT) 也可能存在漏洞。有关潜在缺陷及其利用方式的深入信息,建议访问链接的文档以进行 JWT 黑客攻击。 ### Cross-Site Request Forgery (CSRF) @@ -147,7 +147,7 @@ document.cookie = "a=v1" document.cookie = "=test value;" // Setting an empty named cookie document.cookie = "b=v2" ``` -发送的 cookie 头中的结果是 `a=v1; test value; b=v2;`。有趣的是,如果设置了一个空名称的 cookie,这允许对 cookies 进行操控,通过将空 cookie 设置为特定值,可能控制其他 cookies: +在发送的 cookie 头中的结果是 `a=v1; test value; b=v2;`。有趣的是,如果设置了一个空名称的 cookie,这允许对 cookies 进行操控,通过将空 cookie 设置为特定值,可能控制其他 cookies: ```js function setCookie(name, value) { document.cookie = `${name}=${value}` @@ -159,7 +159,7 @@ setCookie("", "a=b") // Setting the empty cookie modifies another cookie's value #### Chrome Bug: Unicode Surrogate Codepoint Issue -在 Chrome 中,如果 Unicode 代理代码点是设置的 cookie 的一部分,`document.cookie` 将变得损坏,随后返回一个空字符串: +在 Chrome 中,如果 Unicode 代理代码点是设置的 cookie 的一部分,`document.cookie` 会变得损坏,随后返回一个空字符串: ```js document.cookie = "\ud800=meep" ``` @@ -167,7 +167,7 @@ document.cookie = "\ud800=meep" #### 由于解析问题导致的 Cookie 走私 -(查看[原始研究](https://blog.ankursundara.com/cookie-bugs/)的更多细节)包括 Java(Jetty、TomCat、Undertow)和 Python(Zope、cherrypy、web.py、aiohttp、bottle、webob)在内的多个网络服务器,由于对过时的 RFC2965 支持,错误处理 cookie 字符串。它们将带有双引号的 cookie 值视为单个值,即使它包含分号,而分号通常应分隔键值对: +(查看[原始研究](https://blog.ankursundara.com/cookie-bugs/)的更多细节) 一些网络服务器,包括 Java(Jetty, TomCat, Undertow)和 Python(Zope, cherrypy, web.py, aiohttp, bottle, webob),由于对过时的 RFC2965 支持,错误处理 cookie 字符串。它们将双引号的 cookie 值视为单个值,即使它包含分号,而分号通常应分隔键值对: ``` RENDER_TEXT="hello world; JSESSIONID=13371337; ASDF=end"; ``` @@ -189,15 +189,16 @@ RENDER_TEXT="hello world; JSESSIONID=13371337; ASDF=end"; #### Cookie Sandwich Attack -根据[**这篇博客**](https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique),可以使用 cookie sandwich 技术来窃取 HttpOnly cookies。以下是要求和步骤: +根据[**这篇博客**](https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique),可以使用 cookie 三明治技术来窃取 HttpOnly cookies。以下是要求和步骤: - 找到一个明显无用的 **cookie 在响应中被反射的地方** - **创建一个名为 `$Version`** 的 cookie,值为 `1`(你可以在 JS 的 XSS 攻击中做到这一点),并使用更具体的路径以获取初始位置(一些框架如 Python 不需要这一步) -- **创建被反射的 cookie**,其值留有 **开放的双引号**,并使用特定路径以便在 cookie 数据库中位于前一个 cookie (`$Version`) 之后 -- 然后,合法的 cookie 将按顺序紧随其后 -- **创建一个虚拟 cookie 来关闭双引号** 在其值内 +- **创建被反射的 cookie**,其值留下一个 **开放的双引号**,并使用特定路径以便在 cookie 数据库中位于前一个 cookie (`$Version`) 之后 +- 然后,合法的 cookie 将按顺序排在后面 +- **创建一个虚拟 cookie 来关闭双引号** 在其值中 这样,受害者的 cookie 就会被困在新的 cookie 版本 1 中,并将在每次反射时被反射。 +例如,来自帖子: ```javascript document.cookie = `$Version=1;`; document.cookie = `param1="start`; @@ -212,14 +213,14 @@ document.cookie = `param2=end";`; #### 使用引号字符串编码绕过值分析 -此解析指示在 cookies 内部取消转义已转义的值,因此 "\a" 变为 "a"。这对于绕过 WAFS 很有用,如下所示: +此解析指示取消转义 cookies 中的转义值,因此 "\a" 变为 "a"。这对于绕过 WAFS 很有用,例如: - `eval('test') => forbidden` - `"\e\v\a\l\(\'\t\e\s\t\'\)" => allowed` #### 绕过 cookie 名称黑名单 -在 RFC2109 中指出 **逗号可以用作 cookie 值之间的分隔符**。并且在等号前后也可以添加 **空格和制表符**。因此,像 `$Version=1; foo=bar, abc = qux` 的 cookie 不会生成 cookie `"foo":"bar, admin = qux"`,而是生成 cookies `foo":"bar"` 和 `"admin":"qux"`。注意生成了 2 个 cookies,以及 admin 在等号前后去掉了空格。 +在 RFC2109 中指出 **逗号可以用作 cookie 值之间的分隔符**。而且在等号前后也可以添加 **空格和制表符**。因此,像 `$Version=1; foo=bar, abc = qux` 的 cookie 不会生成 cookie `"foo":"bar, admin = qux"`,而是生成 cookies `foo":"bar"` 和 `"admin":"qux"`。注意生成了 2 个 cookies,以及 admin 在等号前后去掉了空格。 #### 使用 cookie 拆分绕过值分析 @@ -246,7 +247,7 @@ Resulting cookie: name=eval('test//, comment') => allowed - 尝试在 2 个设备(或浏览器)上使用相同的 cookie 登录同一账户。 - 检查 cookie 中是否有任何信息并尝试修改它。 - 尝试创建多个几乎相同用户名的账户,并检查是否可以看到相似之处。 -- 检查是否存在 "**记住我**" 选项以了解其工作原理。如果存在且可能存在漏洞,请始终使用 "**记住我**" 的 cookie,而不使用其他 cookie。 +- 检查是否存在 "**记住我**" 选项以了解其工作原理。如果存在且可能存在漏洞,始终使用 "**记住我**" 的 cookie,而不使用其他 cookie。 - 检查即使在更改密码后,之前的 cookie 是否仍然有效。 #### **高级 cookie 攻击** @@ -275,30 +276,30 @@ Padbuster 将进行多次尝试,并会询问您哪个条件是错误条件( ``` padbuster http://web.com/index.php 1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lBP+zAD0D0w== 8 -cookies thecookie=1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lBP+zAD0D0w== -plaintext user=administrator ``` -此执行将正确加密和编码 cookie,并在其中包含字符串 **user=administrator**。 +此执行将正确加密和编码包含字符串 **user=administrator** 的 cookie。 **CBC-MAC** -也许一个 cookie 可以有某个值,并可以使用 CBC 签名。然后,值的完整性是通过使用相同值的 CBC 创建的签名。由于建议使用空向量作为 IV,这种完整性检查可能会存在漏洞。 +也许一个 cookie 可以有某个值,并且可以使用 CBC 签名。然后,值的完整性是通过使用相同值的 CBC 创建的签名。由于建议使用空向量作为 IV,这种完整性检查可能会受到攻击。 **攻击** 1. 获取用户名 **administ** 的签名 = **t** 2. 获取用户名 **rator\x00\x00\x00 XOR t** 的签名 = **t'** -3. 在 cookie 中设置值 **administrator+t'** (**t'** 将是 **(rator\x00\x00\x00 XOR t) XOR t** 的有效签名 = **rator\x00\x00\x00**) +3. 在 cookie 中设置值 **administrator+t'** (**t'** 将是 **(rator\x00\x00\x00 XOR t) XOR t** = **rator\x00\x00\x00** 的有效签名) **ECB** -如果 cookie 使用 ECB 加密,则可能会存在漏洞。\ +如果 cookie 使用 ECB 加密,则可能会受到攻击。\ 当您登录时,您收到的 cookie 必须始终相同。 **如何检测和攻击:** 创建 2 个几乎相同数据的用户(用户名、密码、电子邮件等),并尝试发现给定 cookie 中的某些模式。 -创建一个名为 "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" 的用户,并检查 cookie 中是否存在任何模式(由于 ECB 使用相同的密钥加密每个块,如果用户名被加密,则相同的加密字节可能会出现)。 +创建一个名为 "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" 的用户,并检查 cookie 中是否有任何模式(由于 ECB 使用相同的密钥加密每个块,如果用户名被加密,则相同的加密字节可能会出现)。 -应该有一个模式(与使用的块的大小相同)。因此,知道一堆 "a" 是如何加密的,您可以创建一个用户名:"a"*(块的大小)+"admin"。然后,您可以从 cookie 中删除一个块的 "a" 的加密模式。您将拥有用户名 "admin" 的 cookie。 +应该有一个模式(与使用的块的大小相同)。因此,知道一堆 "a" 是如何加密的,您可以创建一个用户名:"a"\*(块的大小)+"admin"。然后,您可以从 cookie 中删除一个块的 "a" 的加密模式。您将拥有用户名 "admin" 的 cookie。 ## 参考