新型漏洞：利用浏览器Cookie绕过HTTPS并窃取私人信息

Posted 2021-04-30 FreeBuf

近期，一个存在于主要浏览器的Web cookie中的严重漏洞被发现，它使安全的浏览方式（HTTPS）容易遭受中间人攻击。

大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞，包括：谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。

美国计算机紧急响应小组（CERT）披露，所有的主要浏览器厂商不恰当地实现了RFC 6265标准，也称为“浏览器Cookie”，这使得远程攻击者能够绕过安全的HTTPS协议，并能够泄露秘密的私人会话数据。

HTTPS Cookie注入漏洞

Cookie是Web网站发送到Web浏览器上的一小片数据，它包含用户识别用户身份的各种信息，或储存了与该网站相关的任何特定信息。当一个你访问过了的网站想要在你的浏览器中设置一个Cookie时，它会传递一个名为“Set-Cookie”的头、参数名称、它的值和一些选项，包括Cookie的过期时间和域名（它有效的原因）。

此外，同样重要的是要注意一点，基于HTTP的网站不以任何方式加密头信息，为了解决这个问题，网站使用带有“安全标志（secure flag）”的HTTPS Cookie，这表明Cookie必须通过一个安全的HTTPS连接发送（从浏览器到服务器）Cookie。

然而，研究人员发现，一些主要的Web浏览器通过HTTPS接受Cookie，甚至没有验证HTTPS Cookie的来源（Cookie forcing），这使得在明文传输的HTTP浏览会话中，处于中间人攻击位置的攻击者将注入Cookie中，而这些Cookie将用于安全的HTTPS加密会话。

对于一个不受保护的浏览器，攻击者可以将HTTPS Cookie伪装成另一个网站（example.com），并以这种方式覆盖真正的HTTPS Cookie，这样即使用户查看他们的Cookie名单，可能也不会意识到这是一个虚假的网站。现在，这个恶意的HTTPS Cookie由攻击者控制，因此他能够拦截和抓取私人会话信息。

影响范围：

在8月份华盛顿举办的第24届USENIX安全研讨会上，首次披露了该问题。当时，研究人员展示了他们的论文，文中提到大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞，包括：谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。此外，受影响的主流Web浏览器包括以下浏览器的早期版本：

1、苹果的Safari

2、Mozilla的Firefox

3、谷歌的Chrome

4、微软的IE浏览器

5、微软的Edge

6、Opera

然而，好消息是，这些供应商现在已经解决了这个问题。所以，如果你想保护自己免受这种Cookie注入、中间人攻击向量，那么就将这些浏览器升级到最新版本。CERT还建议站长在他们的顶级域名商部署HSTS（HTTP Strict Transport Security）。