Go 預防session劫持

session劫持是一種廣泛存在的比較嚴重的安全威脅，在session技術中，客戶端和服務端通過session的標識符來維護會話， 但這個標識符很容易就能被嗅探到，從而被其他人利用。它是中間人攻擊的一種類型。

本節(jié)將通過一個實例來演示會話劫持，希望通過這個實例，能讓讀者更好地理解session的本質。

session劫持過程

我們寫了如下的代碼來展示一個count計數(shù)器：

func count(w http.ResponseWriter, r *http.Request) {
	sess := globalSessions.SessionStart(w, r)
	ct := sess.Get("countnum")
	if ct == nil {
		sess.Set("countnum", 1)
	} else {
		sess.Set("countnum", (ct.(int) + 1))
	}
	t, _ := template.ParseFiles("count.gtpl")
	w.Header().Set("Content-Type", "text/html")
	t.Execute(w, sess.Get("countnum"))
}

count.gtpl的代碼如下所示：

Hi. Now count:{{.}}

然后我們在瀏覽器里面刷新可以看到如下內容：

隨著刷新，數(shù)字將不斷增長，當數(shù)字顯示為6的時候，打開瀏覽器(以chrome為例）的cookie管理器，可以看到類似如下的信息：

下面這個步驟最為關鍵: 打開另一個瀏覽器(這里我打開了firefox瀏覽器),復制chrome地址欄里的地址到新打開的瀏覽器的地址欄中。然后打開firefox的cookie模擬插件，新建一個cookie，把按上圖中cookie內容原樣在firefox中重建一份:

回車后，你將看到如下內容：

可以看到雖然換了瀏覽器，但是我們卻獲得了sessionID，然后模擬了cookie存儲的過程。這個例子是在同一臺計算機上做的，不過即使換用兩臺來做，其結果仍然一樣。此時如果交替點擊兩個瀏覽器里的鏈接你會發(fā)現(xiàn)它們其實操縱的是同一個計數(shù)器。不必驚訝，此處firefox盜用了chrome和goserver之間的維持會話的鑰匙，即gosessionid，這是一種類型的“會話劫持”。在goserver看來，它從http請求中得到了一個gosessionid，由于HTTP協(xié)議的無狀態(tài)性，它無法得知這個gosessionid是從chrome那里“劫持”來的，它依然會去查找對應的session，并執(zhí)行相關計算。與此同時 chrome也無法得知自己保持的會話已經(jīng)被“劫持”。

session劫持防范

cookieonly和token

通過上面session劫持的簡單演示可以了解到session一旦被其他人劫持，就非常危險，劫持者可以假裝成被劫持者進行很多非法操作。那么如何有效的防止session劫持呢？

其中一個解決方案就是sessionID的值只允許cookie設置，而不是通過URL重置方式設置，同時設置cookie的httponly為true,這個屬性是設置是否可通過客戶端腳本訪問這個設置的cookie，第一這個可以防止這個cookie被XSS讀取從而引起session劫持，第二cookie設置不會像URL重置方式那么容易獲取sessionID。

第二步就是在每個請求里面加上token，實現(xiàn)類似前面章節(jié)里面講的防止form重復遞交類似的功能，我們在每個請求里面加上一個隱藏的token，然后每次驗證這個token，從而保證用戶的請求都是唯一性。

h := md5.New()
salt:="astaxie%^7&8888"
io.WriteString(h,salt+time.Now().String())
token:=fmt.Sprintf("%x",h.Sum(nil))
if r.Form["token"]!=token{
	//提示登錄
}
sess.Set("token",token)

間隔生成新的SID

還有一個解決方案就是，我們給session額外設置一個創(chuàng)建時間的值，一旦過了一定的時間，我們銷毀這個sessionID，重新生成新的session，這樣可以一定程度上防止session劫持的問題。

createtime := sess.Get("createtime")
if createtime == nil {
	sess.Set("createtime", time.Now().Unix())
} else if (createtime.(int64) + 60) < (time.Now().Unix()) {
	globalSessions.SessionDestroy(w, r)
	sess = globalSessions.SessionStart(w, r)
}

session啟動后，我們設置了一個值，用于記錄生成sessionID的時間。通過判斷每次請求是否過期(這里設置了60秒)定期生成新的ID，這樣使得攻擊者獲取有效sessionID的機會大大降低。

上面兩個手段的組合可以在實踐中消除session劫持的風險，一方面， 由于sessionID頻繁改變，使攻擊者難有機會獲取有效的sessionID；另一方面，因為sessionID只能在cookie中傳遞，然后設置了httponly，所以基于URL攻擊的可能性為零，同時被XSS獲取sessionID也不可能。最后，由于我們還設置了MaxAge=0，這樣就相當于session cookie不會留在瀏覽器的歷史記錄里面。