谨防通过浏览器cookie 威胁您财务的新网络攻击
扫描二维码随身看资讯
使用手机 二维码应用 扫描右侧二维码,您可以
1. 在手机上细细品读~
2. 分享给您的微信好友或朋友圈~
浏览器cookie 并不能完全保证防止未经通知的攻击,因此无需警告它们。
国土安全部资助的卡内基梅隆大学软件工程学院的CERT 本周发出警告,警告用户有关持续存在的cookie 漏洞,这些漏洞可能会影响他们的隐私,甚至使他们的财务状况面临风险。我警告过你。
中国清华大学的一位教授在上个月的USENIX 安全研讨会上发表了一篇题为“Cookie 不一致:现实世界的影响”的研究论文中提出了这一警告。它是由国际计算机科学研究所和微软共同撰写的。华为加拿大公司和加州大学伯克利分校。
本文研究了n-deeptour cookie 注入攻击(甚至可以在安全的HTTPS 链接上发生),还描述了RFC 6265 cookie 规范中的漏洞以及重现该问题的实现规范。
USENIX 中描述的攻击涉及基于网络的中间位置,攻击者可以将cookie 注入到HTTP 链接中,该链接也连接他们自己的链接。研究人员表示,该漏洞出现在一些名为谷歌和美国银行的高流量网站上,可能会造成隐私侵犯、账户劫持和财务损失等后果。
“你位于攻击者控制的网络上(例如,在开放WiFi 的区域)。攻击者暂时接管你的浏览器,并在目标网站上注入cookie,”Weaver 告诉Threatpost。 “现在,当您访问该网站时(在不同的网络上,在不同的上下文中),浏览器会在该网站上呈现一个错误的cookie,并且该网站会以取决于该网站的方式在该网站上呈现一个错误的cookie。 Cookie 等。它可能只是跟踪用户,也可能是隐藏在Cookie 本身中的成熟XSS 攻击。”
文章中,研究人员指出,分隔cookie 域影响不大,但不同的是相关域可以共享cookie 范围。文章说:
Cookie 可能会标有“安全”标志,表明它们只能通过HTTPS 使用,以确保网络“中间人”(MITM) 的机密性。但是,没有类似的措施来保护您的身份免受对手的侵害。 HTTP 响应允许在该域名上设置安全cookie。攻击者可以利用相关域上的共享cookie 来破坏cookie 的完整性。
即使同源策略也无效,因为基于Web 的攻击者可以强制受害者的浏览器访问恶意网站。这是因为基于Web 的攻击者可以强制受害者的浏览器访问恶意网站,因此在域之间隔离内容可以有效威慑这些攻击。
CERT 警告说:“由于RFC 6265 没有指定确保隔离和完整性的机制,因此Web 浏览器实现并不总是设置cookie 来验证域。” “恶意攻击者可以利用它创建一个通过HTTPS 连接使用的cookie,以代替实际网站设置的cookie。”
研究人员提出了一些可能的缓解措施,其中最主要的是实施HTTP 严格传输安全(HSTS) 和更换浏览器制造商。本文还提供了一个概念证明,即更好的浏览器扩展可以允许更好地分离HTTP 和HTTPS 域之间的cookie。
“对于您访问的每一个启用HSTS 的网站,HSTS 都会阻止您的浏览器接受来自攻击者的Cookie,因为Cookie 是通过HTTP 而不是HTTPS 传递的。因此,指定的基域名和所有子域都可以有效免疫所有构建HSTS 的网站,”韦弗说。
韦弗说:“浏览器需要改变他们使用cookie 的方式。这始终是一个危险的领域,因为更安全的cookie 策略可能会破坏现有的网络。”
- 如何提高高二学生语文成绩?四季课文原文
- 《机长的四季教训》原文
- 四季酒店集团区域副总裁:四季酒店集团业务增长超出预期。四季酒店集团在西南市场的规划布局,四季
- 中国的四个季节|北京中轴线上的冬天
- 华发四季(上海浦东)房产网站丨浦东华发四季欢迎您丨楼盘详情及户型图-四季
- 四时看新疆:看新疆追雪花:全面布局“山水”产业链新能源发展“提速”四时
- 鹿晗现身云南录制综艺节目《五哈》第四期。他穿着白色运动衫看起来非常帅气! 2023年12月14日
- 四季周周有赛事勾当 崇礼冬奥场馆今岁首年月步实现四时经营
- 四季公园四季公园(华发公园四季)首页网站珠海华发欢迎您楼盘详情户型价格
- 尽享山水四时美景。 《画山水》里的四时美景在哪里? 2023年12月8日四个季节
- 四个季节对应的月份
- 四季印象兰亭-苏州(四季印象兰亭)房产详情-房价-电话号码-社区环境
- 1 鹿晗现身云南录制综艺节目《五哈》第四期。他穿着白色运动衫看起来非常帅气! 2023年12月14日
- 2 书名:苹果Mac操作系统
- 3 DD4BC黑客组织用DDoS敲诈勒索比特币 近来活动加剧
- 4 机场安检设备在黑客攻击面前不堪一击
- 5 黑客在几秒钟内远程控制医院输液泵
- 6 Android Android系统暴露严重安全漏洞
- 7 如何防止你的无线路由器被人使用上网?9个技巧
- 8 操作Bunitu 僵尸网络的网络犯罪分子可以感染代理服务器
- 9 CVE-2015-3840漏洞允许攻击者伪造短信或彩信的发送和接收状态 并导致用户发送多条付费消息 攻击者可以利用此漏洞更改SMS/MMS 消息的状态 而无需“WRITE_SMS”权限 攻击者可以对
- 10 EFF 向FTC 投诉Google 秘密收集学生的在线数据
-
CVE-2015-3839漏洞能够使短信程序崩溃
研究人员在安卓系统中发现了两个新漏洞,它们可以破坏手机和平板
-
操控Bunitu僵尸网络的网络犯罪分子们可以感染代理服务器
操控Bunitu僵尸网络的网络犯罪分子们可以利用Bunitu僵尸网络来感
-
机场安检设备在黑客攻击面前不堪一击
现在,通过一台普通的笔记本电脑,黑客就可以入侵机场的安全网络了,机
-
DD4BC黑客组织用DDoS敲诈勒索比特币 近来活动加剧
自从去年9月以来,一个名字为DD4BC的黑客组织的攻击敲诈行为被曝光