Cookie登录绕过漏洞分析与利用

1. Cookie基础概念

1.1 Cookie定义

• 存储在用户浏览器中的一段不超过4KB的字符串
• 组成结构：
  • 名称(Name)
  • 值(Value)
  • 控制属性（有效期、安全性、使用范围等）

1.2 Cookie特性

1. 自动发送：客户端发起请求时自动发送当前域名下所有未过期的Cookie
2. 域名独立：不同域名下的Cookie各自独立
3. 过期时限：可设置有效期
4. 4KB限制：单个Cookie大小不超过4KB

1.3 Cookie分类

• 会话Cookie：

  • 不设定生命周期(expires)
  • 浏览器关闭时销毁
  • 类似一次性交易，不保留状态

• 持久Cookie：

  • 设定了生命周期(expires)
  • 浏览器关闭后仍保留直到过期
  • 可实现跨页面/跨会话的状态保持（如登录状态）

2. Cookie安全性问题

• 存储在浏览器中，可通过API读写
• 容易被伪造，不具有安全性
• 重要隐私数据不应通过Cookie传输

3. Cookie登录绕过漏洞分析

3.1 漏洞代码示例

<?php
if($_COOKIE['username']){
    echo "登录成功【{$_COOKIE['username']}】";
}else{
?>
<meta charset="UTF-8">
<form method='post'>
    <label>帐号:</label><input type='text' name='username'><br>
    <label>密码:</label><input type='password' name='password'><br>
    <input type='submit' value='登录' name='submit'>
</form>
<?php } ?>

3.2 漏洞原理

• 仅检查Cookie中是否存在'username'字段
• 不验证该字段的真实性、有效性或来源
• 攻击者可手动设置'username'Cookie绕过认证

4. 漏洞利用方法

4.1 普通用户提升管理员权限案例(AWSPanel)

1. 注册普通用户并登录
2. 抓取登录请求包
   • 发现响应中包含管理员标识参数(如isadmin=false)
3. 修改响应包
   • 将false改为true
4. 结果验证
   • Cookie中管理员参数变为true
   • 获得管理员权限

4.2 其他利用方式

• 直接修改客户端Cookie值
• 伪造包含认证信息的Cookie
• 利用Cookie注入获取其他用户会话

5. 防御措施

5.1 服务器端防御

• 不要仅依赖Cookie进行认证
• 实现完整的会话管理机制
• 使用安全的会话标识符
• 对敏感操作进行二次验证

5.2 Cookie安全设置

• 使用HttpOnly标志防止XSS攻击
• 使用Secure标志确保仅通过HTTPS传输
• 设置合理的过期时间
• 考虑使用SameSite属性防止CSRF

5.3 代码层面修复

• 增加服务器端会话验证
• 实现CSRF防护机制
• 对Cookie值进行加密签名

6. 总结

Cookie登录绕过漏洞源于对Cookie的不当信任和使用，开发者应始终遵循"不信任客户端数据"的原则，实现多层次的认证和授权机制，确保系统安全性。