Cookie缺乏完整性对现实网络的威胁(Usenix Sec 2015)

Xiaofeng Zheng, Jian Jiang, Jinjin Liang, Haixin Duan, Shuo Chen, Tao Wan, and Nicholas Weaver

Cookie在HTTP协议中用于状态管理,对Web应用非常重要。然而,现有协议和浏览器的实现中,对Cookie的完整性缺乏有效的保护。攻击者通过中间人的方式可以通过明文的HTTP会话注入Cookie,覆盖或屏蔽后续HTTPS加密会话中使用的Cookie。除了中间人方式,Web攻击者还可以通过域名相关的网站实现这种攻击。尽管这种攻击以前已经被业界所知,但是并没有深入的研究。我们的论文通过深入的实证研究展示这种攻击的原理、危害和现实世界中漏洞存在的普遍性。我们发现世界上许多重要的网站(包括Google, Bank of America, Amazon等)都存在Cookie注入攻击的风险,同时也发现许多主流的浏览器(包括Chrome, Firefox, Safari)的实现上也存在一些漏洞使这一威胁更加严重。我们在许多重要的应用中展示了这种攻击的后果,包括在线账号劫持、隐私泄露、支付劫持,给用户带来直接的财务损失。最后我们讨论了各种防范或降低这种攻击风险的措施,包括 部署HSTS、修补浏览器,以及我们自己开发的一个浏览器扩展,它实现了Cookie在HTTP和HTTPS传输中更加严格的隔离。

论文下载
Presentation Slides