<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se vuoi vedere la tua **azienda pubblicizzata su HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Scopri [**La Famiglia PEASS**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
I cookies sono dotati di diversi attributi che ne controllano il comportamento nel browser dell'utente. Ecco un elenco di questi attributi in una forma più passiva:
La data di scadenza di un cookie è determinata dall'attributo `Expires`. Al contrario, l'attributo `Max-age` definisce il tempo in secondi prima che un cookie venga eliminato. **Optare per `Max-age` poiché riflette pratiche più moderne.**
Gli host che ricevono un cookie sono specificati dall'attributo `Domain`. Per impostazione predefinita, questo è impostato sull'host che ha emesso il cookie, escludendo i suoi sottodomini. Tuttavia, quando l'attributo `Domain` è esplicitamente impostato, comprende anche i sottodomini. Questo rende la specifica dell'attributo `Domain` una opzione meno restrittiva, utile per scenari in cui è necessario condividere i cookie tra i sottodomini. Ad esempio, impostando `Domain=mozilla.org` rende i cookie accessibili sui suoi sottodomini come `developer.mozilla.org`.
Un percorso URL specifico che deve essere presente nell'URL richiesto affinché l'intestazione `Cookie` venga inviata è indicato dall'attributo `Path`. Questo attributo considera il carattere `/` come separatore di directory, consentendo corrispondenze anche nelle sottodirectory.
Tabella da [Invicti](https://www.netsparker.com/blog/web-security/same-site-cookie-attribute-prevent-cross-site-request-forgery/) e leggermente modificata.\
**\*Nota che da Chrome80 (feb/2019) il comportamento predefinito di un cookie senza un attributo samesite** **sarà lax** ([https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/](https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/)).\
Nota che temporaneamente, dopo l'applicazione di questa modifica, i **cookie senza una politica SameSite** in Chrome verranno **trattati come None** durante i **primi 2 minuti e poi come Lax per le richieste POST cross-site di alto livello.**
* Se la pagina sta **inviando i cookie come risposta** di una richiesta (ad esempio in una pagina **PHPinfo**), è possibile sfruttare l'XSS per inviare una richiesta a questa pagina e **rubare i cookie** dalla risposta (controlla un esempio in [https://hackcommander.github.io/posts/2022/11/12/bypass-httponly-via-php-info-page/](https://hackcommander.github.io/posts/2022/11/12/bypass-httponly-via-php-info-page/).
* Questo potrebbe essere bypassato con richieste **TRACE****HTTP** poiché la risposta dal server (se questo metodo HTTP è disponibile) rifletterà i cookie inviati. Questa tecnica è chiamata **Cross-Site Tracking**.
* Questa tecnica è evitata dai **browser moderni che non permettono l'invio di una richiesta TRACE** da JS. Tuttavia, sono stati trovati alcuni bypass a questo in software specifici come l'invio di `\r\nTRACE` invece di `TRACE` a IE6.0 SP2.
È importante notare che i cookies con prefisso `__Host-` non sono consentiti di essere inviati a superdomini o sottodomini. Questa restrizione aiuta nell'isolamento dei cookies dell'applicazione. Pertanto, l'utilizzo del prefisso `__Host-` per tutti i cookies dell'applicazione può essere considerato una buona pratica per migliorare la sicurezza e l'isolamento.
Quindi, una delle protezioni dei cookie con prefisso `__Host-` è quella di impedirne la sovrascrittura da parte dei sottodomini. Ad esempio, impedendo gli attacchi di [**Cookie Tossing**](cookie-tossing.md). Nella presentazione [**Cookie Crumbles: Unveiling Web Session Integrity Vulnerabilities**](https://www.youtube.com/watch?v=F_wAzF4a7Xg) ([**documento**](https://www.usenix.org/system/files/usenixsecurity23-squarcina.pdf)) è stato presentato che era possibile impostare i cookie con prefisso `__HOST-` da un sottodominio, ingannando il parser, ad esempio, aggiungendo "=" all'inizio o all'inizio e alla fine...:
Oppure in PHP era possibile aggiungere **altri caratteri all'inizio** del nome del cookie che sarebbero stati **sostituiti da caratteri di sottolineatura**, consentendo di sovrascrivere i cookie `__HOST-`:
I dati sensibili incorporati nei cookie dovrebbero sempre essere esaminati attentamente. I cookie codificati in Base64 o formati simili possono spesso essere decodificati. Questa vulnerabilità consente agli attaccanti di modificare il contenuto del cookie e impersonare altri utenti codificando i loro dati modificati all'interno del cookie.
Questo attacco coinvolge il furto del cookie di un utente per ottenere l'accesso non autorizzato al loro account all'interno di un'applicazione. Utilizzando il cookie rubato, un attaccante può impersonare l'utente legittimo.
In questo scenario, un attaccante inganna una vittima affinché utilizzi un cookie specifico per effettuare l'accesso. Se l'applicazione non assegna un nuovo cookie al momento del login, l'attaccante, possedendo il cookie originale, può impersonare la vittima. Questa tecnica si basa sul fatto che la vittima effettua l'accesso con un cookie fornito dall'attaccante.
Qui, l'attaccante convince la vittima a utilizzare il cookie di sessione dell'attaccante. La vittima, credendo di essere loggata nel proprio account, eseguirà involontariamente azioni nel contesto dell'account dell'attaccante.
I JSON Web Tokens (JWT) utilizzati nei cookie possono presentare vulnerabilità. Per informazioni dettagliate su possibili difetti e su come sfruttarli, si consiglia di consultare il documento collegato sull'hacking dei JWT.
Questo attacco costringe un utente loggato a eseguire azioni indesiderate su un'applicazione web in cui è attualmente autenticato. Gli attaccanti possono sfruttare i cookie che vengono inviati automaticamente con ogni richiesta al sito vulnerabile.
(Consulta ulteriori dettagli nella [ricerca originale](https://blog.ankursundara.com/cookie-bugs/)) I browser consentono la creazione di cookie senza nome, che possono essere dimostrati tramite JavaScript come segue:
Il risultato nell'intestazione del cookie inviato è `a=v1; test value; b=v2;`. In modo intrigante, ciò consente la manipolazione dei cookie se viene impostato un cookie con nome vuoto, potenzialmente controllando altri cookie impostando il cookie vuoto su un valore specifico:
In Chrome, se un punto di codice surrogato Unicode fa parte di un cookie impostato, `document.cookie` diventa corrotto, restituendo successivamente una stringa vuota:
(Verifica ulteriori dettagli nella [ricerca originale](https://blog.ankursundara.com/cookie-bugs/)) Diversi server web, inclusi quelli in Java (Jetty, TomCat, Undertow) e Python (Zope, cherrypy, web.py, aiohttp, bottle, webob), gestiscono in modo errato le stringhe dei cookie a causa del supporto obsoleto di RFC2965. Leggono un valore del cookie tra virgolette doppie come un singolo valore anche se include punti e virgola, che normalmente dovrebbero separare le coppie chiave-valore:
(Controlla ulteriori dettagli nella [ricerca originale](https://blog.ankursundara.com/cookie-bugs/)) L'errata interpretazione dei cookie da parte dei server, in particolare Undertow, Zope e quelli che utilizzano `http.cookie.SimpleCookie` e `http.cookie.BaseCookie` di Python, crea opportunità per attacchi di iniezione di cookie. Questi server non delimitano correttamente l'inizio dei nuovi cookie, consentendo agli attaccanti di falsificare i cookie:
Questa vulnerabilità è particolarmente pericolosa nelle applicazioni web che si basano sulla protezione CSRF basata su cookie, poiché consente agli attaccanti di iniettare cookie falsificati del token CSRF, potenzialmente eludendo le misure di sicurezza. Il problema è aggravato dal modo in cui Python gestisce i nomi dei cookie duplicati, dove l'ultima occorrenza sovrascrive quelle precedenti. Solleva anche preoccupazioni per i cookie `__Secure-` e `__Host-` in contesti non sicuri e potrebbe portare a bypass dell'autorizzazione quando i cookie vengono passati a server back-end suscettibili di falsificazione.
- Controlla l'opzione "**ricordami**" se esiste per capire come funziona. Se esiste e potrebbe essere vulnerabile, utilizza sempre il cookie di **ricordami** senza altri cookie.
Se il cookie rimane lo stesso (o quasi) quando effettui il login, probabilmente significa che il cookie è correlato a qualche campo del tuo account (probabilmente l'username). Quindi puoi:
- Prova a **bruteforce dell'username**. Se il cookie salva solo come metodo di autenticazione per il tuo username, puoi creare un account con username "**Bmin**" e **bruteforce** ogni singolo **bit** del tuo cookie perché uno dei cookie che proverai sarà quello appartenente a "**admin**".
Se l'attacco è stato eseguito con successo, potresti provare a crittografare una stringa a tua scelta. Ad esempio, se volessi **crittografare****user=administrator**
Forse un cookie potrebbe avere un certo valore e potrebbe essere firmato utilizzando CBC. Quindi, l'integrità del valore è la firma creata utilizzando CBC con lo stesso valore. Poiché è consigliabile utilizzare come IV un vettore nullo, questo tipo di controllo dell'integrità potrebbe essere vulnerabile.
Crea un utente chiamato ad esempio "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" e controlla se c'è qualche schema nel cookie (poiché ECB crittografa con la stessa chiave ogni blocco, gli stessi byte crittografati potrebbero apparire se l'username è crittografato).
Dovrebbe esserci un modello (con la dimensione di un blocco utilizzato). Quindi, sapendo come sono crittografati un gruppo di "a" puoi creare un username: "a"\*(dimensione del blocco)+"admin". Quindi, potresti eliminare il modello crittografato di un blocco di "a" dal cookie. E avrai il cookie dell'username "admin".
<summary><strong>Impara l'hacking AWS da zero a eroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se desideri vedere la tua **azienda pubblicizzata in HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**