新網(wǎng)絡(luò)攻擊通過瀏覽器Cookies威脅用戶財務(wù) 要小心了

在不知道或需要提醒的情況下,瀏覽器cookies并不能完全確保不受攻擊。

DHS贊助的卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院的CERT于本周下發(fā)了一個警告,警告用戶關(guān)于一類持續(xù)流行的涉及用戶隱私的cookies漏洞,這些漏洞甚至可以使得用戶財務(wù)狀況處于危險之中。
 

internet屬性
 

該警報于上個月的USENIX安全專題討論會上的一篇研究論文中提出,被稱之為 “cookies缺乏完整性:累及現(xiàn)實(shí)世界”,該篇文章由中國清華大學(xué)的教授,國際計算機(jī)科學(xué)研究所,微軟,加拿大華為,和加利福尼亞大學(xué)的伯克利共同撰寫。

本文對n-depth tour cookies注入攻擊(這甚至可以發(fā)生在安全的HTTPS鏈接中),同時本文還介紹了在RFC 6265中的cookie說明書中的漏洞和復(fù)現(xiàn)該問題時的實(shí)施規(guī)范。

在USENIX上所描述的攻擊,涉及到一個基于網(wǎng)絡(luò)的中間過度的位置,在這個過度過程中,攻擊者可以在一個HTTP鏈接中注入cookies,這也會附上自己的鏈接。研究人員說,該漏洞出現(xiàn)在一些高流量的網(wǎng)站——通過名字它們被確定為谷歌和美國銀行,同時這些漏洞可能會造成包括隱私侵犯,賬戶劫持,財務(wù)損失在內(nèi)的一些后果。

“你在一個攻擊者可以控制的網(wǎng)絡(luò)上(例如在有開放WiFi的地方i)。攻擊者暫時劫持你的瀏覽器來對一個目標(biāo)網(wǎng)站進(jìn)行cookies注入。”Weaver告訴Threatpost。“現(xiàn)在,當(dāng)你訪問該網(wǎng)站(在不同的網(wǎng)絡(luò),在不同的情況下),你的瀏覽器會在網(wǎng)站上呈現(xiàn)壞的cookies,并且這個網(wǎng)站將以一種網(wǎng)站依賴的方式在網(wǎng)站上呈現(xiàn)壞的cookies。例如,它可以只是簡單地跟蹤用戶,也可以是埋伏在cookies本身中的一個完整的XSS攻擊。”

在該文中,研究人員指出,隔離cookies域收效甚微,但不同的是,相關(guān)域可以共享一個cookie范圍。文章中這樣寫到:

一個cookie可能有一個“安全的”flag,顯示它應(yīng)該只能在HTTPS上,確保對網(wǎng)絡(luò)“中間人”(MITM)的保密性。然而,并沒有類似的措施去保護(hù)免于對手的相同性:一個HTTP響應(yīng)是被允許為其域名建立一個安全的cookie的。對手可以在一個相關(guān)的域上通過利用被分享 的cookie擾亂cookie的完整性。

甚至不是同源政策,這意味著在域名之間墻的內(nèi)容對于這些攻擊來說是一種有效的威懾,因?yàn)榛诰W(wǎng)絡(luò)的攻擊者可以迫使受害者的瀏覽器訪問惡意網(wǎng)站。

“由于RFC 6265不指定任何機(jī)制來提供隔離和完整性保證,Web瀏覽器的實(shí)現(xiàn)并不總是進(jìn)行身份驗(yàn)證的域設(shè)置一個cookie,”CERT警告說。“惡意的攻擊者可以利用這個建立一個cookie,這個cookie將會在之后用到,通過一個HTTPS連接而不是實(shí)際網(wǎng)站設(shè)置的cookie。”

研究者們提出了許多可能的緩解措施,其中主要的有實(shí)現(xiàn)HTTP嚴(yán)格安全傳輸(HSTS),以及改變?yōu)g覽器制造商。文章還提出了概念證明更好的瀏覽器擴(kuò)展可以使HTTP和HTTPS域之間分更好的分離cookies。

“對于所有你所瀏覽過的HSTS支持的網(wǎng)站,HSTS防止你的瀏覽器免于接受攻擊者的cookies,因?yàn)樗麄兺ㄟ^HTTP不是HTTPS。”韋弗說:“所以任何給其基礎(chǔ)域名和所有子域名建立HSTS的網(wǎng)站都是能夠進(jìn)行有效免疫的。

Weaver說“瀏覽器需要改變cookies如何運(yùn)作的方式,這始終是一個充滿了危險的區(qū)域,因?yàn)橐粋€更安全的cookie策略可能會打破現(xiàn)有的網(wǎng)絡(luò)。”

網(wǎng)友評論
圖文推薦
  • 百度殺毒怎么樣 百度殺毒軟件好嗎

    百度殺毒軟件好嗎?這是很多用戶在使用百度殺毒這款軟件之前的疑問,因?yàn)闅⒍拒浖?shí)在太多,用戶有這樣的疑問也無可厚非,今天,小編就帶大家看看百度殺毒的一些特色吧,或許能夠解答用戶的疑問了!

  • 勒索病毒怎么清除 勒索病毒徹底清除方法

    很多用戶的電腦遭受了勒索病毒的侵入,那么要如何清除勒索病毒呢?接下來,小編就為大家?guī)砝账鞑《厩宄椒ㄒ约袄账鞑《厩宄ぞ?,感興趣的朋友可以來了解下。

  • 比特幣病毒怎么解決 比特幣病毒解決方法

    最近,很多朋友都被比特幣勒索病毒給刷屏了,黑客通過索要破解費(fèi)用來獲取利益,那么,比特幣病毒怎么破解呢?接下來,小編就為大家?guī)肀忍貛挪《窘鉀Q方法。