Міжсайтове встановлення cookie

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Під час міжсайтового встановлення cookie зловмисник використовує помилку браузера, щоб надіслати недійсний файл cookie на сервер.

Міжсайтове встановлення cookie (або Cross-site cooking) — це тип експлойту браузера, який дозволяє атакуючому встановити файли cookie для браузера в домені стороннього сайту.

Міжсайтове встановлення cookie можна використовувати для здійснення атак встановлення сеансу, оскільки атакуючий може встановлювати файл cookie ідентифікатора сеансу стороннього сайту.

Наприклад, якщо атакуючий встановлює свій сеанс іншому користувачу в домені сторонього сайту і потім користувач здійснює вхід до системи, то тепер цей сеанс використовується для доступу в аккаунт користувача. А отже усі хто знають цей сеанс можуть отримати доступ до аккаунту користувача.

Також можливі інші сценарії атаки, наприклад: атакуючий може знати про вразливість безпеки на сторонньому сайті, яку можна використати за допомогою файлів cookie. Але якщо для цієї вразливості безпеки потрібенен наприклад обліковий запис адміністратора, до якого атакуючий доступу не має, міжсайтове встановлення cookie може бути використано, щоб обдурити невинних користувачів для здійснення атаки на сайт.

Одним з прикладів також може бути атака дзеркального XSS яка виникає через відсутність фільтрування файлів cookie. Але таку атаку можливо провести тільки через встановлення зловмисних файлів куків жертві.

Міжсайтові атаки

Міжсайтове приготування подібне за концепцією до міжсайтового сценарію, підробки міжсайтового запиту, міжсайтового відстеження, міжзонального сценарію тощо, оскільки передбачає можливість переміщення даних або коду між різними веб-сайтами (або в у деяких випадках між електронною поштою/миттєвими повідомленнями та сайтами). Ці проблеми пов’язані з тим, що веб-браузер є спільною платформою для різної інформації/додатків/сайтів. Лише логічні межі безпеки, підтримувані браузерами, гарантують, що один сайт не зможе пошкодити або викрасти дані іншого. Однак такий експлойт браузера, як міжсайтове приготування, можна використовувати для переміщення файлів через логічні межі безпеки.

Джерела[ред. | ред. код]

Назва cross-site cooking і концепція були представлені Міхалом Залевським у 2006 році. [1] Назва є сумішшю "cookie" і "crosssite", яка намагається описати природу файлів cookie, які встановлюються на сайтах.

У статті Міхала Залевського за 2006 рік Бенджамін Франц назвав своє відкриття, який у травні 1998 року повідомив постачальникам про вразливість домену cookie. Бенджамін Франц опублікував уразливість і обговорював її в основному як спосіб обійти механізми «захисту конфіденційності» в популярних браузерах. Міхал Залевський дійшов висновку, що через 8 років ця помилка все ще присутня (не вирішена) у деяких браузерах і може бути використана для міжсайтового приготування. Різноманітні зауваження на кшталт «постачальники [...] точно не поспішають це виправляти» були зроблені Залевським та іншими.

Список літератури[ред. | ред. код]

  1. Browsers face triple threat(Techworld.com)

Зовнішні посилання[ред. | ред. код]

  • Стаття Міхала Залевського про міжсайтову кулінарію . Деталі концепції, 3 помилки, які дозволяють міжсайтове приготування. Однією з цих помилок є старовинна помилка, спочатку знайдена Бенджаміном Францом.
Отримано з https://uk.wikipedia.org/w/index.php?title=Міжсайтове_встановлення_cookie&oldid=42368350