近期，一個(gè)存在于主要瀏覽器的Web cookie中的嚴(yán)重漏洞被發(fā)現(xiàn)，它使安全的瀏覽方式(HTTPS)容易遭受中間人攻擊。此外，大部分Web網(wǎng)站和流行的開源應(yīng)用程序中可能都含有Cookie注入漏洞，包括：谷歌、亞馬遜、eBay、蘋果、美國(guó)銀行、BitBucket、中國(guó)建設(shè)銀行、中國(guó)銀聯(lián)、京東、phpMyAdmin以及MediaWiki。

[[150654]]

美國(guó)計(jì)算機(jī)緊急響應(yīng)小組(CERT)披露(補(bǔ)充：中國(guó)研究者xiaofeng zheng發(fā)現(xiàn)了這個(gè)安全問題，美國(guó)專業(yè)安全媒體thehacknews不知何因在報(bào)道中忽略了該研究人員的名字)，所有的主要瀏覽器廠商不恰當(dāng)?shù)貙?shí)現(xiàn)了RFC 6265標(biāo)準(zhǔn)，也稱為“瀏覽器Cookie”，這使得遠(yuǎn)程攻擊者能夠繞過安全的HTTPS協(xié)議，并能夠泄露秘密的私人會(huì)話數(shù)據(jù)。

HTTPS Cookie注入漏洞

Cookie是Web網(wǎng)站發(fā)送到Web瀏覽器上的一小片數(shù)據(jù)，它包含用戶識(shí)別用戶身份的各種信息，或儲(chǔ)存了與該網(wǎng)站相關(guān)的任何特定信息。當(dāng)一個(gè)你訪問過了的網(wǎng)站想要在你的瀏覽器中設(shè)置一個(gè)Cookie時(shí)，它會(huì)傳遞一個(gè)名為“Set-Cookie”的頭、參數(shù)名稱、它的值和一些選項(xiàng)，包括Cookie的過期時(shí)間和域名(它有效的原因)。

此外，同樣重要的是要注意一點(diǎn)，基于HTTP的網(wǎng)站不以任何方式加密頭信息，為了解決這個(gè)問題，網(wǎng)站使用帶有“安全標(biāo)志(secure flag)”的HTTPS Cookie，這表明Cookie必須通過一個(gè)安全的HTTPS連接發(fā)送(從瀏覽器到服務(wù)器)Cookie。然而，研究人員發(fā)現(xiàn)，一些主要的Web瀏覽器通過HTTPS接受Cookie，甚至沒有驗(yàn)證HTTPS Cookie的來源(Cookie forcing)，這使得在明文傳輸?shù)腍TTP瀏覽會(huì)話中，處于中間人攻擊位置的攻擊者將注入Cookie中，而這些Cookie將用于安全的HTTPS加密會(huì)話。

對(duì)于一個(gè)不受保護(hù)的瀏覽器，攻擊者可以將HTTPS Cookie偽裝成另一個(gè)網(wǎng)站(example.com)，并以這種方式覆蓋真正的HTTPS Cookie，這樣即使用戶查看他們的Cookie名單，可能也不會(huì)意識(shí)到這是一個(gè)虛假的網(wǎng)站。現(xiàn)在，這個(gè)惡意的HTTPS Cookie由攻擊者控制，因此他能夠攔截和抓取私人會(huì)話信息。

影響范圍

在8月份華盛頓舉辦的第24屆USENIX安全研討會(huì)上，該問題首次被披露。當(dāng)時(shí)，研究人員xiaofeng zheng展示了他們的論文，文中提到大部分Web網(wǎng)站和流行的開源應(yīng)用程序中可能都含有Cookie注入漏洞，包括：谷歌、亞馬遜、eBay、蘋果、美國(guó)銀行、BitBucket、中國(guó)建設(shè)銀行、中國(guó)銀聯(lián)、京東、phpMyAdmin以及MediaWiki。此外，受影響的主流Web瀏覽器包括以下瀏覽器的早期版本：

1、蘋果的Safari

2、Mozilla的Firefox

3、谷歌的Chrome

4、微軟的IE瀏覽器

5、微軟的Edge

6、Opera

然而，好消息是，這些供應(yīng)商現(xiàn)在已經(jīng)解決了這個(gè)問題。所以，如果你想保護(hù)自己免受這種Cookie注入、中間人攻擊向量，那么就將這些瀏覽器升級(jí)到最新版本。

CERT和研究人員xiaofeng zheng還建議站長(zhǎng)在他們的頂級(jí)域名商部署HSTS(HTTP Strict Transport Security)。