DVWA-XSS(Stored)-httponly分析

拿DVWA的XSS为例子
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。
接DVWA的分析，发现其实Impossible的cookie都是设置的httponly=1，samesite=1.
这两个参数的意思参考Set-Cookie

HttpOnly:阻止 JavaScript 通过 Document.cookie 属性访问 cookie。
SameSite:控制 cookie 是否随跨站请求一起发送，这样可以在一定程度上防范跨站请求伪造攻击（CSRF）。

设置

1. PHP5.2以上版本已支持HttpOnly参数的设置，同样也支持全局的HttpOnly的设置，在php.ini中

 session.cookie_httponly = 

设置其值为1或者TRUE，来开启全局的Cookie的HttpOnly属性。
2. setcookie函数和setrawcookie函数添加了第7个参数来做为HttpOnly的选项，开启方法为：

 setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 
 setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

DVWA XSS(Stored)

开始我在服务器的php.ini中设置了session.cookie_httponly = true之后发现Cookie的httponly还是false。
后来发现，源代码中作者设置了http-only。
Cookie一共包含security和PHPSESSID，这里讲下PHPSESSID（session的cookie）。
在dvwaPage.inc.php中，dvwa_start_session()函数先通过dvwaSecurityLevelGet()函数获得security_level。
之后如果security_level为impossible，则httponly设置为true。否则为false。
最后通过session_set_cookie_params设置session 的cookie。

function dvwa_start_session() {
	// This will setup the session cookie based on
	// the security level.

	$security_level = dvwaSecurityLevelGet();
	if ($security_level == 'impossible') {
		$httponly = true;
		$samesite = "Strict";
	}
	else {
		$httponly = false;
		$samesite = "";
	}

	$maxlifetime = 86400;
	$secure = false;
	$domain = parse_url($_SERVER['HTTP_HOST'], PHP_URL_HOST);

	/*
	 * Need to do this as you can't update the settings of a session
	 * while it is open. So check if one is open, close it if needed
	 * then update the values and start it again.
	*/

	if (session_id()) {
		session_write_close();
	}

	session_set_cookie_params([
		'lifetime' => $maxlifetime,
		'path' => '/',
		'domain' => $domain,
		'secure' => $secure,
		'httponly' => $httponly,
		'samesite' => $samesite
	]);

	session_start();

	// This is the call that will force a new Set-Cookie header with the right flags
	session_regenerate_id();
}

function dvwaSecurityLevelGet() {
	global $_DVWA;

	// If there is a security cookie, that takes priority.
	if (isset($_COOKIE['security'])) {
		return $_COOKIE[ 'security' ];
	}

	// If not, check to see if authentication is disabled, if it is, use
	// the default security level.
	if (in_array("disable_authentication", $_DVWA) && $_DVWA['disable_authentication']) {
		return $_DVWA[ 'default_security_level' ];
	}

	// Worse case, set the level to impossible.
	return 'impossible';
}

现在这个源码，可以在XSS(Stored) Low Level界面，产生漏洞，拿到cookie。
此时浏览器Cookie中PHPSESSID的http-only为false。

之后我们将红框位置改为true，也就是所有level下session 的cookie httponly都设置为true。
修改之后再进行漏洞测试，发现只能拿到security的cookie，同时PHPSESSID的httponly为true。