¿Es posible que un ataque XSS obtenga cookies HttpOnly?

Question

La lectura this blog post about HttpOnly cookies me hizo comenzar a pensar, ¿es posible que se obtenga una cookie HttpOnly a través de cualquier forma de XSS? Jeff menciona que "sube la barra considerablemente" pero hace que parezca que no protege completamente contra XSS.

Aparte del hecho de que no todos los navegadores admiten esta característica correctamente, ¿cómo podría un hacker obtener las cookies de un usuario si son HttpOnly?

No se me ocurre ninguna manera de hacer que una cookie HttpOnly se envíe a otro sitio o leerse por script, así que parece que esta es una función de seguridad segura, pero siempre me sorprende la facilidad con que algunas personas puede trabajar alrededor de muchas capas de seguridad.

En el entorno en el que trabajo, utilizamos IE exclusivamente para que otros navegadores no sean una preocupación. Estoy buscando específicamente otras formas en que esto podría convertirse en un problema que no dependa de fallas específicas del navegador.

Answer 1

En primer lugar, como se mencionó en otros, XSS puede permitir otras cargas útiles, no solo el robo de cookies.

Pero, hay de todos modos para robar las cookies de httpOnly, con XSS?(ignorando la pregunta de httpOnly support?) .... La respuesta es: Sí.
Un subconjunto de XSS se conoce como Cross-Site Tracing (XST) (o vaya al original research paper). Este ataque tiene la carga útil XSS envía una solicitud HTTP TRACE al servidor web (o proxy, hacia adelante O hacia atrás), que devolverá al cliente la solicitud completa, INCLUSO SUS COOKIES, httpOnly o no. La carga útil XSS continuación, puede analizar la información devuelta, y recuperar esas deliciosas galletas ...

---

Por cierto, otro "subconjunto" (un poco) de XSS, implica la inyección de carga útil en las cabeceras de respuesta. Aunque similar, esto no es exactamente XSS, y la Inyección de encabezado puede incluso llevar a HTTP Response Splitting (HRS) - que es mucho más potente, permite un control casi completo de otros clientes, envenenamiento de caché y, por supuesto, acceso a cookies, si así lo desea.

Answer 2

El rastreo de paquetes puede leer las cookies transmitidas a través de http. Pero puede no caer bajo el XSS.

Answer 3

Si el navegador no comprende HttpOnly, el ataque tiene éxito.Editar: bien, no está preocupado. Está bien, pero dejaré este aviso solo como referencia. Es útil indicarlo explícitamente.

Otra forma de robar además de oler la red sería el control directo de la computadora del usuario. Entonces las cookies se pueden leer desde un archivo. Si se trata de una cookie de sesión, se eliminará, por supuesto, después de que se cierre el navegador.

Por cierto, el robo de la cookie de sesión no es la única "carga útil" del ataque XSS. Por ejemplo, puede hacer que su protección CSRF sea inútil. Puede alterar los contenidos de su sitio para engañar al usuario. Y muchas otras cosas maliciosas.

Así protegerse mejor en el buen sentido (escape de salida), y pensar en HttpOnly como capa adicional de protección.

Answer 4

El uso de cookies HttpOnly evitará que ataques XSS obtengan esas cookies.

a menos que:

• su navegador no soporta HttpOnly
• existe una vulnerabilidad desconocida hasta ahora en el navegador que se rompe HttpOnly
• el servidor ha sido comprometida (pero entonces usted está probablemente manguera de todos modos)

Como ha señalado otro afiche: XSS no es la única amenaza, y agarrar cookies no es la única amenaza de XSS. Estoy seguro de que lo sabías, ¡solo estoy siendo completo!

¡Buena suerte!

Answer 5

JavaScript puede modificar el HTML de la página, por lo tanto, httpOnly hace no significa que son seguros contra XSS.