谨防通过浏览器cookie 威胁您财务的新网络攻击

浏览器cookie 并不能完全保证防止未经通知的攻击，因此无需警告它们。

国土安全部资助的卡内基梅隆大学软件工程学院的CERT 本周发出警告，警告用户有关持续存在的cookie 漏洞，这些漏洞可能会影响他们的隐私，甚至使他们的财务状况面临风险。我警告过你。

中国清华大学的一位教授在上个月的USENIX 安全研讨会上发表了一篇题为“Cookie 不一致：现实世界的影响”的研究论文中提出了这一警告。它是由国际计算机科学研究所和微软共同撰写的。华为加拿大公司和加州大学伯克利分校。

本文研究了n-deeptour cookie 注入攻击（甚至可以在安全的HTTPS 链接上发生），还描述了RFC 6265 cookie 规范中的漏洞以及重现该问题的实现规范。

USENIX 中描述的攻击涉及基于网络的中间位置，攻击者可以将cookie 注入到HTTP 链接中，该链接也连接他们自己的链接。研究人员表示，该漏洞出现在一些名为谷歌和美国银行的高流量网站上，可能会造成隐私侵犯、账户劫持和财务损失等后果。

“你位于攻击者控制的网络上（例如，在开放WiFi 的区域）。攻击者暂时接管你的浏览器，并在目标网站上注入cookie，”Weaver 告诉Threatpost。 “现在，当您访问该网站时（在不同的网络上，在不同的上下文中），浏览器会在该网站上呈现一个错误的cookie，并且该网站会以取决于该网站的方式在该网站上呈现一个错误的cookie。 Cookie 等。它可能只是跟踪用户，也可能是隐藏在Cookie 本身中的成熟XSS 攻击。”

文章中，研究人员指出，分隔cookie 域影响不大，但不同的是相关域可以共享cookie 范围。文章说：

Cookie 可能会标有“安全”标志，表明它们只能通过HTTPS 使用，以确保网络“中间人”(MITM) 的机密性。但是，没有类似的措施来保护您的身份免受对手的侵害。 HTTP 响应允许在该域名上设置安全cookie。攻击者可以利用相关域上的共享cookie 来破坏cookie 的完整性。

即使同源策略也无效，因为基于Web 的攻击者可以强制受害者的浏览器访问恶意网站。这是因为基于Web 的攻击者可以强制受害者的浏览器访问恶意网站，因此在域之间隔离内容可以有效威慑这些攻击。

CERT 警告说：“由于RFC 6265 没有指定确保隔离和完整性的机制，因此Web 浏览器实现并不总是设置cookie 来验证域。” “恶意攻击者可以利用它创建一个通过HTTPS 连接使用的cookie，以代替实际网站设置的cookie。”

研究人员提出了一些可能的缓解措施，其中最主要的是实施HTTP 严格传输安全(HSTS) 和更换浏览器制造商。本文还提供了一个概念证明，即更好的浏览器扩展可以允许更好地分离HTTP 和HTTPS 域之间的cookie。

“对于您访问的每一个启用HSTS 的网站，HSTS 都会阻止您的浏览器接受来自攻击者的Cookie，因为Cookie 是通过HTTP 而不是HTTPS 传递的。因此，指定的基域名和所有子域都可以有效免疫所有构建HSTS 的网站，”韦弗说。

韦弗说：“浏览器需要改变他们使用cookie 的方式。这始终是一个危险的领域，因为更安全的cookie 策略可能会破坏现有的网络。”