في مقالنا هذا سندخل و نقتحم جزء أساسيا في عالم الإختراق و الهكر، مجال مختص في ميكانيزمات الحماية من هجمات الهاكرز و أول مقال لي في هذا المجال سيكون حول ميكانيزم HttpOnly لحماية الكوكي الخاص بك.
من قام ببرمجة httpOnly ؟ و متى ؟
تمت برمجة هذا الميكانيزم من طرف مطوري Microsoft Internet Explorer سنة 2002 وتم اعتماده بنسخة Inrernet Explorer 6 SP1 .
ما هو HttpOnly ؟
HttpOnly هي إضافة يتم إضافتها إلى Set-cookie ب Http Response Header ، فاستعمال HttpOnly عند توليد الكوكي يقوم بتقليص خطر القيام بسرقة الكوكي عن طريق سكريبتات يتم تنفيذها ب browser المستعمل.
المثال التالي يلخص استعمال هذه الخاصية ب Http Response Header:
Set-Cookie: <name>=<value>[; <Max-Age>=<age>]
[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; HttpOnly]
إذا كانت خاصية HttpOnly مضافة لل Http Response Header ، يتم حظر الحصول على الكوكي من جهة client أو المستعمل (طبعا يجب أن يكون المتصفح يدعم هذه الخاصية ). فمثلا بوجود ثغرة xss أو cross site scripting وقام المستعمل بدخول رابط يقوم باستغلال هذه الثغرة فالمتصفح لن يقوم بالكشف عن الكوكي للهاكرز.
تخفيف خطر XSS باستعمال HttpOnly
الأكيد أن أغلب هجمات XSS يكون الهدف منها سرقة cookie session، و اعتماد السيرفر على هذه الخاصية وتفعيلها ب http response Header يقلل من احتمال سرقة الكوكي و يمنع كشفه في الجهة الأخرى عند متصفح المستعمل.
إن كان المتصفح يدعم خاصية HttpOnly وقام باكتشافه في الكوكي ، سيقوم بمنع كل محاولات سرقة الكوكي ويرسل Empty string أو سلسلات فارغة و يفشل هجوم XSS .
تخفيف خطر XSS باستعمال HttpOnly
الأكيد أن أغلب هجمات XSS يكون الهدف منها سرقة cookie session، و اعتماد السيرفر على هذه الخاصية وتفعيلها ب http response Header يقلل من احتمال سرقة الكوكي و يمنع كشفه في الجهة الأخرى عند متصفح المستعمل.
إن كان المتصفح يدعم خاصية HttpOnly وقام باكتشافه في الكوكي ، سيقوم بمنع كل محاولات سرقة الكوكي ويرسل Empty string أو سلسلات فارغة و يفشل هجوم XSS .
0 comments:
إرسال تعليق
أضف تعليقك