背景
我是一名经验丰富的 Web 开发人员(主要使用 Python 和 CherryPy),之前从头开始实现过安全 session 管理,现在正在学习 Rails。我正在调查 session 暴露的 Rails session 行为ActionController 中可用的对象实例和 View 上下文。
问题/问题
我读到 Rails 4 中 session 的默认实现使用加密且防篡改的 cookie。很酷,我想这意味着我可以使用它来保存用户 session 的用户 ID,而不必担心 session 伪造(防篡改)或任何人能够找出他们的 ID 是什么(加密)。我想对此进行测试,看看如果 session cookie 被更改,rails 会做什么。
因此,我使用浏览器插件更改了 session cookie 属性的内容,当我使用新的 cookie 值重新加载页面时,Rails 很高兴地为 session_id 提供了不同的新值。和 _csrf_token .
session cookie 完整性发生了什么!?
Rails 难道不应该检测到(通过 HMAC 签名)cookie 被更改然后以某种方式告诉我吗?
我很害怕我错过了一些非常明显的东西,但我一直没有运气在网上寻找答案,而且源代码也不会轻易放弃(我是新来的 ruby )。提前致谢。
实验
我创建了一个新应用并生成了一个带有 index 的 Controller Action :
$ rails new my_app
$ cd my_app; rails g controller home index
然后我将这两行添加到 app/views/layouts/application.html.erb 文件中:
<%= session.keys %><br/>
<%= session.values %>
我启动了开发服务器并将浏览器导航到“localhost:3000/home/index”。正如预期的那样,页面底部有以下几行:
["session_id", "_csrf_token"]
["8c1558cabe6c86cfb37d6191f2e03bf8", "S8i8/++8t6v8W8RMeyvnNu3Pjvj+KkMo2UEcm1oVVZg="]
重新加载页面给我相同的值,尽管应用程序设置了一个新值 _my_app_session cookie 属性每次。这对我来说似乎很奇怪,但我得到了相同的 session 哈希值,所以我想这很酷。
然后,我使用 Chrome 的 cookie 编辑插件来更改 _my_app_session 的值cookie 属性(替换属性值的第一个字符)。重新加载页面显示完全不同的值,但没有任何反应。什么?
最佳答案
我不能声称对这里的代码有真正透彻的理解。但我可以告诉你这么多:
我完全按照您的步骤操作(使用 Ruby 2.0.0-p247 和 Rails 4.0),但有一个异常(exception)——我还在我的 Gemfile 中添加了“byebug”gem,并在 HomeController#index 中插入了一个调试断点 Action 。
从 byebug 控制台,在该断点处,我可以通过以下方式看到未编辑 session cookie:
(byebug) cookies["_my_app_session"]
"cmtWeEc3VG5hZ1BzUzRadW5ETTRSaytIQldiaTMyM0NtTU14c2RrcVVueWRQbncxTnJzVDk3OWU3N21PWWNzb1IrZDUxckdMNmZ0cGl3Mk0wUGUxU1ZWN3BmekFVQTFxNk55OTRwZStJSmtJZVkzVmlVaUI2c2c5cDRDWVVMZ0lJcENmWStESjhzRU81MHFhRTN4VlNWRlJKYTU3aFVLUDR5Y1lSVkplS0J1Wko3R2IxdkVYS3IxTHA2eC9kOW56LS1IbXlmelRlSWxiaG02Q3N2L0tUWHN3PT0=--b37c705a525ab2fb14feb5f2edf86d3ae1ab03c5"
我可以用
看到实际的加密值(byebug) cookies.encrypted["_my_app_session"]
{"session_id"=>"13a95fb545a1e3a2d4e9b4c22debc260", "_csrf_token"=>"FXb8pZgmoK0ui0qCW8W75t3sN2KLRpkiFBmLbHSfnhc="}
现在,我通过将第一个字母更改为“A”来编辑 cookie 并刷新页面:
(byebug) cookies["_my_app_session"]
"AmtWeEc3VG5hZ1BzUzRadW5ETTRSaytIQldiaTMyM0NtTU14c2RrcVVueWRQbncxTnJzVDk3OWU3N21PWWNzb1IrZDUxckdMNmZ0cGl3Mk0wUGUxU1ZWN3BmekFVQTFxNk55OTRwZStJSmtJZVkzVmlVaUI2c2c5cDRDWVVMZ0lJcENmWStESjhzRU81MHFhRTN4VlNWRlJKYTU3aFVLUDR5Y1lSVkplS0J1Wko3R2IxdkVYS3IxTHA2eC9kOW56LS1IbXlmelRlSWxiaG02Q3N2L0tUWHN3PT0=--b37c705a525ab2fb14feb5f2edf86d3ae1ab03c5"
(byebug) cookies.encrypted["_my_app_session"]
nil
因此请求中此时 session 为nil:
(byebug) session
#<ActionDispatch::Request::Session:0x7ff41ace4bc0 not yet loaded>
我可以强制加载 session
(byebug) session.send(:load!)
当我这样做时,我看到生成的 session ID 是
"f6be13fd646962de676985ec9bb4a8d3"
果然,当我让请求完成时,这就是我在 View 中看到的:
["session_id", "_csrf_token"] ["f6be13fd646962de676985ec9bb4a8d3", "qJ/aHzovZYpbrelGpRFec/cNlJyWjonXDoOMlDHbWzg="]
我现在还有一个新的 cookie 值,与我编辑的值无关。
因此,我认为我们可以得出结论,由于无法验证 cookie 签名, session 被取消并重新生成。我现在有一个新 session ,具有不同的 csrf_token。
相关代码出现在actionpack/lib/action_dispatch/middleware/cookies.rb:460-464,在EncryptedCookieJar类中:
def decrypt_and_verify(encrypted_message)
@encryptor.decrypt_and_verify(encrypted_message)
rescue ActiveSupport::MessageVerifier::InvalidSignature, ActiveSupport::MessageEncryptor::InvalidMessage
nil
end
我们不解密带有无效签名的消息,而是将其视为nil。因此,存储 session ID 和 csrf token 的无法验证的 cookie 不会用于加载 session ,任何依赖于 cookie 中的值的操作都会失败。
那么为什么我们没有收到错误而只是收到一个新 session 呢?那是因为我们没有尝试任何依赖于加密值的东西。特别是,虽然我们有
protect_from_forgery with: :exception
(与 :null_session 相对)在 ApplicationController 中,Rails 不会验证 GET 或 HEAD 请求上的 csrf token ——它依赖于开发人员来实现这些操作根据规范,因此它们是非破坏性的。如果您在 POST 请求上尝试相同的操作,您会收到 ActionController::InvalidAuthenticityToken 错误(您可以轻松地自行验证)。
关于ruby-on-rails - 检测 Rails 4 session cookie 篡改,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18751565/