|
Cookie处理在浏览器可以打破HTTPS安全性 灰鸽子下载,远程控制软件
缺乏cookie完整性验证浏览器可以让黑客从加密的网络连接中提取信息。
cookie,网站的文件创建在浏览器记住登录用户和其他跟踪信息,可以被攻击者获取敏感信息加密的HTTPS连接。
这个问题源于这一事实HTTP状态管理标准,或RFC 6265,它定义了如何创建和cookie处理,不指定任何隔离机制或检查其完整性。
因此,Web浏览器不总是认证域设置cookie。恶意攻击者可以通过普通的HTTP连接,后来被注入cookie传播HTTPS连接,
而不是那些设定的HTTPS网站本身,CERT协调中心(CERT / CC)卡内基梅隆大学周四在一个顾问说。
这一现象发生的原因之一是因为子域可以设置cookie,其他父域或子域都是有效的。
例如,如果subdomain.domain.com设置cookie域属性的domain.com,浏览器发送的cookie可能到
subdomain2.domain.com。网站托管在subdomain2可能无法区分自己的cookie和流氓。
cookie也不是孤立的端口号或计划。服务器托管多个网站可以通过相同的域,但在不同的端口号。
这些网站将能够读和写对方的cookie。灰鸽子使用教程
所有这些矛盾让中间人攻击者可以执行所谓的cookie注射或cookie扔攻击,可用于从HTTPS连接提取敏感信息。
伯克利加州大学的一个研究小组,在北京清华大学,国际计算机科学研究所和微软测试此类攻击的影响在不同的引人
注目的HTTPS网站和8月在USENIX大会上提出了他们的发现。
他们发现他们可以劫持用户的聊天工具在Gmail界面,偷谷歌搜索历史,中国银联网站上窃取信用卡信息,在JD.com上
劫持存款,劫持谷歌OAuth和BitBucket都联系,跟踪和操作电子商务购物车网站,跟踪Amazon.com上购买历史和更多。
“一些web浏览器厂商注意到先前的尝试更安全cookie管理已经被挫败由于缺乏广泛实现的标准,“CERT / CC在其顾问表示。
直到标准组织提出一个解决方案,可以减轻这个问题如果网站使用HTTP严格的交通安全(hst)机制迫使浏览器总是安全的HTTPS连接访问它们。
所有主流浏览器的最新版本支持hst,但为了使这个机制对cookie有效注入攻击,网站还需要实现它。
不幸的是,hst采用跨HTTPS-enabled网站仍然很低。根据最新的统计数据从SSL脉冲项目中,只有4.5%的互联网的前
145000名HTTPS网站目前hst的支持。 |
|