有毒Cookie(也称为会话劫持)是一种攻击策略,攻击者通过改变、伪造、劫持或以其他方式“毒害”发送回服务器的原本有效的 Cookie,以窃取数据、绕过安全措施或两者兼而有之。
在计算中,Cookie 是特定于网站和用户会话的数据,包括在用户浏览器中创建和存储的有关用户的兴趣或身份信息。 网站和服务器可以使用 cookie 来跟踪使用趋势,例如网站上哪些页面的流量最多,以及定制和简化用户体验,无论是优先显示与用户以前的访问相符的内容、跟踪在线购物车中的商品还是自动填写个人信息。
攻击者可以在 cookie 返回服务器之前拦截它们,以从中提取信息或进行修改。 还可以从头创建伪造的 cookie,作为冒充用户访问其他用户数据的手段。 因此, 有毒Cookie是一个错误的说法,因为它通常不仅指被修改的(“中毒的”)cookie,还指从有效 cookie 中窃取数据或其他恶意使用方法的各种方法。
Cookie 通常用于身份验证和追踪用户是否登录到帐户,这意味着它们包含可用于未授权访问的信息。 它们还可能包含用户输入的其他敏感数据,包括财务信息。 对于攻击者来说, 有毒Cookie相对容易,他们可以使用投毒的 cookie 窃取用户身份进行欺诈或未授权访问Web 服务器以进行进一步攻击。
未安全生成或传输的 Cookie(或其他会话令牌)容易受到劫持或毒害。 跨站点脚本 (XSS)是窃取 cookie 的常用方法,但可以使用多种方法(包括数据包嗅探和暴力破解)来获取对 cookie 的未授权访问。 由于有毒Cookie是一个涵盖众多涉及 Cookie 的恶意活动的统称,因此有毒Cookie漏洞也可能被准确地描述为中间人攻击、会话劫持、固定或伪造等。
虽然周到的应用程序开发可以限制存储在 cookie 中的敏感数据或使攻击者更难提取,但 cookie 的目的是识别用户、行为或两者。 这意味着应用将继续使用它们。 适当的Web应用安全和会话管理(可由Web应用防火墙 (WAF)提供)可帮助保护识别数据并防止有毒Cookie。
F5 Advanced WAF(API 安全 - 新一代 WAF)使用全代理数据检查、行为分析和机器学习来提供高级别的应用安全性,包括复杂的会话管理和SSL/TLS cookie 加密。 通过拦截往返于 Web 服务器的所有流量,它可以解密该流量并将其与服务器发送的信息进行比较,以防止更改的 cookie 到达服务器或应用。