|
|
Cookie處理在瀏覽器可以打破HTTPS安全性 灰鴿子下載,遠程控制軟件
缺乏cookie完整性驗證瀏覽器可以讓黑客從加密的網(wǎng)絡(luò)連接中提取信息��。
cookie,網(wǎng)站的文件創(chuàng)建在瀏覽器記住登錄用戶和其他跟蹤信息,可以被攻擊者獲取敏感信息加密的HTTPS連接���。
這個問題源于這一事實HTTP狀態(tài)管理標準,或RFC 6265,它定義了如何創(chuàng)建和cookie處理,不指定任何隔離機制或檢查其完整性。
因此,Web瀏覽器不總是認證域設(shè)置cookie���。惡意攻擊者可以通過普通的HTTP連接,后來被注入cookie傳播HTTPS連接,
而不是那些設(shè)定的HTTPS網(wǎng)站本身,CERT協(xié)調(diào)中心(CERT / CC)卡內(nèi)基梅隆大學(xué)周四在一個顧問說�����。
這一現(xiàn)象發(fā)生的原因之一是因為子域可以設(shè)置cookie,其他父域或子域都是有效的�����。
例如,如果subdomain.domain.com設(shè)置cookie域?qū)傩缘膁omain.com,瀏覽器發(fā)送的cookie可能到
subdomain2.domain.com��。網(wǎng)站托管在subdomain2可能無法區(qū)分自己的cookie和流氓�����。
cookie也不是孤立的端口號或計劃�����。服務(wù)器托管多個網(wǎng)站可以通過相同的域,但在不同的端口號��。
這些網(wǎng)站將能夠讀和寫對方的cookie���。灰鴿子使用教程
所有這些矛盾讓中間人攻擊者可以執(zhí)行所謂的cookie注射或cookie扔攻擊,可用于從HTTPS連接提取敏感信息。
伯克利加州大學(xué)的一個研究小組,在北京清華大學(xué),國際計算機科學(xué)研究所和微軟測試此類攻擊的影響在不同的引人
注目的HTTPS網(wǎng)站和8月在USENIX大會上提出了他們的發(fā)現(xiàn)���。
他們發(fā)現(xiàn)他們可以劫持用戶的聊天工具在Gmail界面,偷谷歌搜索歷史,中國銀聯(lián)網(wǎng)站上竊取信用卡信息,在JD.com上
劫持存款,劫持谷歌OAuth和BitBucket都聯(lián)系,跟蹤和操作電子商務(wù)購物車網(wǎng)站,跟蹤Amazon.com上購買歷史和更多���。
“一些web瀏覽器廠商注意到先前的嘗試更安全cookie管理已經(jīng)被挫敗由于缺乏廣泛實現(xiàn)的標準,“CERT / CC在其顧問表示�����。
直到標準組織提出一個解決方案,可以減輕這個問題如果網(wǎng)站使用HTTP嚴格的交通安全(hst)機制迫使瀏覽器總是安全的HTTPS連接訪問它們���。
所有主流瀏覽器的最新版本支持hst,但為了使這個機制對cookie有效注入攻擊,網(wǎng)站還需要實現(xiàn)它。
不幸的是,hst采用跨HTTPS-enabled網(wǎng)站仍然很低�����。根據(jù)最新的統(tǒng)計數(shù)據(jù)從SSL脈沖項目中,只有4.5%的互聯(lián)網(wǎng)的前
145000名HTTPS網(wǎng)站目前hst的支持�����。 |
|
加載中...
發(fā)表于 2015-9-27 13:58:46
QQ好友和群
收藏
發(fā)表于 2015-9-27 13:58:54