新網(wǎng)絡(luò)攻擊通過(guò)瀏覽器Cookies威脅用戶財(cái)務(wù) 要小心了

在不知道或需要提醒的情況下，瀏覽器cookies并不能完全確保不受攻擊。

DHS贊助的卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院的CERT于本周下發(fā)了一個(gè)警告，警告用戶關(guān)于一類持續(xù)流行的涉及用戶隱私的cookies漏洞，這些漏洞甚至可以使得用戶財(cái)務(wù)狀況處于危險(xiǎn)之中。
 

該警報(bào)于上個(gè)月的USENIX安全專題討論會(huì)上的一篇研究論文中提出，被稱之為 “cookies缺乏完整性：累及現(xiàn)實(shí)世界”，該篇文章由中國(guó)清華大學(xué)的教授，國(guó)際計(jì)算機(jī)科學(xué)研究所，微軟，加拿大華為，和加利福尼亞大學(xué)的伯克利共同撰寫。

本文對(duì)n-depth tour cookies注入攻擊（這甚至可以發(fā)生在安全的HTTPS鏈接中），同時(shí)本文還介紹了在RFC 6265中的cookie說(shuō)明書中的漏洞和復(fù)現(xiàn)該問題時(shí)的實(shí)施規(guī)范。

在USENIX上所描述的攻擊，涉及到一個(gè)基于網(wǎng)絡(luò)的中間過(guò)度的位置，在這個(gè)過(guò)度過(guò)程中，攻擊者可以在一個(gè)HTTP鏈接中注入cookies,這也會(huì)附上自己的鏈接。研究人員說(shuō)，該漏洞出現(xiàn)在一些高流量的網(wǎng)站——通過(guò)名字它們被確定為谷歌和美國(guó)銀行，同時(shí)這些漏洞可能會(huì)造成包括隱私侵犯，賬戶劫持，財(cái)務(wù)損失在內(nèi)的一些后果。

“你在一個(gè)攻擊者可以控制的網(wǎng)絡(luò)上（例如在有開放WiFi的地方i）。攻擊者暫時(shí)劫持你的瀏覽器來(lái)對(duì)一個(gè)目標(biāo)網(wǎng)站進(jìn)行cookies注入。”Weaver告訴Threatpost。“現(xiàn)在，當(dāng)你訪問該網(wǎng)站（在不同的網(wǎng)絡(luò)，在不同的情況下），你的瀏覽器會(huì)在網(wǎng)站上呈現(xiàn)壞的cookies,并且這個(gè)網(wǎng)站將以一種網(wǎng)站依賴的方式在網(wǎng)站上呈現(xiàn)壞的cookies。例如，它可以只是簡(jiǎn)單地跟蹤用戶，也可以是埋伏在cookies本身中的一個(gè)完整的XSS攻擊。”

在該文中，研究人員指出，隔離cookies域收效甚微，但不同的是，相關(guān)域可以共享一個(gè)cookie范圍。文章中這樣寫到：

一個(gè)cookie可能有一個(gè)“安全的”flag,顯示它應(yīng)該只能在HTTPS上，確保對(duì)網(wǎng)絡(luò)“中間人”（MITM）的保密性。然而，并沒有類似的措施去保護(hù)免于對(duì)手的相同性：一個(gè)HTTP響應(yīng)是被允許為其域名建立一個(gè)安全的cookie的。對(duì)手可以在一個(gè)相關(guān)的域上通過(guò)利用被分享 的cookie擾亂cookie的完整性。

甚至不是同源政策，這意味著在域名之間墻的內(nèi)容對(duì)于這些攻擊來(lái)說(shuō)是一種有效的威懾，因?yàn)榛诰W(wǎng)絡(luò)的攻擊者可以迫使受害者的瀏覽器訪問惡意網(wǎng)站。

“由于RFC 6265不指定任何機(jī)制來(lái)提供隔離和完整性保證，Web瀏覽器的實(shí)現(xiàn)并不總是進(jìn)行身份驗(yàn)證的域設(shè)置一個(gè)cookie,”CERT警告說(shuō)。“惡意的攻擊者可以利用這個(gè)建立一個(gè)cookie,這個(gè)cookie將會(huì)在之后用到，通過(guò)一個(gè)HTTPS連接而不是實(shí)際網(wǎng)站設(shè)置的cookie。”

研究者們提出了許多可能的緩解措施，其中主要的有實(shí)現(xiàn)HTTP嚴(yán)格安全傳輸（HSTS），以及改變?yōu)g覽器制造商。文章還提出了概念證明更好的瀏覽器擴(kuò)展可以使HTTP和HTTPS域之間分更好的分離cookies。

“對(duì)于所有你所瀏覽過(guò)的HSTS支持的網(wǎng)站，HSTS防止你的瀏覽器免于接受攻擊者的cookies,因?yàn)樗麄兺ㄟ^(guò)HTTP不是HTTPS。”韋弗說(shuō)：“所以任何給其基礎(chǔ)域名和所有子域名建立HSTS的網(wǎng)站都是能夠進(jìn)行有效免疫的。

Weaver說(shuō)“瀏覽器需要改變cookies如何運(yùn)作的方式，這始終是一個(gè)充滿了危險(xiǎn)的區(qū)域，因?yàn)橐粋€(gè)更安全的cookie策略可能會(huì)打破現(xiàn)有的網(wǎng)絡(luò)。”