近期，一個存在于主要瀏覽器的Web cookie中的嚴(yán)重漏洞被發(fā)現(xiàn)，它使安全的瀏覽方式(HTTPS)容易遭受中間人攻擊。此外，大部分Web網(wǎng)站和流行的開源應(yīng)用程序中可能都含有Cookie注入漏洞，包括：谷歌、亞馬遜、eBay、蘋果、美國銀行、BitBucket、中國建設(shè)銀行、中國銀聯(lián)、京東、phpMyAdmin以及MediaWiki。

[[150654]]

美國計算機(jī)緊急響應(yīng)小組(CERT)披露(補(bǔ)充：中國研究者xiaofeng zheng發(fā)現(xiàn)了這個安全問題，美國專業(yè)安全媒體thehacknews不知何因在報道中忽略了該研究人員的名字)，所有的主要瀏覽器廠商不恰當(dāng)?shù)貙崿F(xiàn)了RFC 6265標(biāo)準(zhǔn)，也稱為“瀏覽器Cookie”，這使得遠(yuǎn)程攻擊者能夠繞過安全的HTTPS協(xié)議，并能夠泄露秘密的私人會話數(shù)據(jù)。

HTTPS Cookie注入漏洞

Cookie是Web網(wǎng)站發(fā)送到Web瀏覽器上的一小片數(shù)據(jù)，它包含用戶識別用戶身份的各種信息，或儲存了與該網(wǎng)站相關(guān)的任何特定信息。當(dāng)一個你訪問過了的網(wǎng)站想要在你的瀏覽器中設(shè)置一個Cookie時，它會傳遞一個名為“Set-Cookie”的頭、參數(shù)名稱、它的值和一些選項，包括Cookie的過期時間和域名(它有效的原因)。

此外，同樣重要的是要注意一點，基于HTTP的網(wǎng)站不以任何方式加密頭信息，為了解決這個問題，網(wǎng)站使用帶有“安全標(biāo)志(secure flag)”的HTTPS Cookie，這表明Cookie必須通過一個安全的HTTPS連接發(fā)送(從瀏覽器到服務(wù)器)Cookie。然而，研究人員發(fā)現(xiàn)，一些主要的Web瀏覽器通過HTTPS接受Cookie，甚至沒有驗證HTTPS Cookie的來源(Cookie forcing)，這使得在明文傳輸?shù)腍TTP瀏覽會話中，處于中間人攻擊位置的攻擊者將注入Cookie中，而這些Cookie將用于安全的HTTPS加密會話。

對于一個不受保護(hù)的瀏覽器，攻擊者可以將HTTPS Cookie偽裝成另一個網(wǎng)站(example.com)，并以這種方式覆蓋真正的HTTPS Cookie，這樣即使用戶查看他們的Cookie名單，可能也不會意識到這是一個虛假的網(wǎng)站?，F(xiàn)在，這個惡意的HTTPS Cookie由攻擊者控制，因此他能夠攔截和抓取私人會話信息。

影響范圍

在8月份華盛頓舉辦的第24屆USENIX安全研討會上，該問題首次被披露。當(dāng)時，研究人員xiaofeng zheng展示了他們的論文，文中提到大部分Web網(wǎng)站和流行的開源應(yīng)用程序中可能都含有Cookie注入漏洞，包括：谷歌、亞馬遜、eBay、蘋果、美國銀行、BitBucket、中國建設(shè)銀行、中國銀聯(lián)、京東、phpMyAdmin以及MediaWiki。此外，受影響的主流Web瀏覽器包括以下瀏覽器的早期版本：

1、蘋果的Safari

2、Mozilla的Firefox

3、谷歌的Chrome

4、微軟的IE瀏覽器

5、微軟的Edge

6、Opera

然而，好消息是，這些供應(yīng)商現(xiàn)在已經(jīng)解決了這個問題。所以，如果你想保護(hù)自己免受這種Cookie注入、中間人攻擊向量，那么就將這些瀏覽器升級到最新版本。

CERT和研究人員xiaofeng zheng還建議站長在他們的頂級域名商部署HSTS(HTTP Strict Transport Security)。