新闻链接:http://www.freebuf.com/news/79934.html
新闻时间:9月26日
新闻正文:
近期，一个存在于主要浏览器的Web cookie中的严重漏洞被发现，它使安全的浏览方式（HTTPS）容易遭受中间人攻击。此外，大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞，包括：谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。
在8月份华盛顿举办的第24届USENIX安全研讨会上，该问题首次被披露。当时，研究人员xiaofeng zheng展示了他们的论文，文中提到大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞，包括：谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。此外，受影响的主流Web浏览器包括以下浏览器的早期版本：

1、苹果的Safari
2、Mozilla的Firefox
3、谷歌的Chrome
4、微软的IE浏览器
5、微软的Edge
6、Opera
然而，好消息是，这些供应商现在已经解决了这个问题。所以，如果你想保护自己免受这种Cookie注入、中间人攻击向量，那么就将这些浏览器升级到最新版本。

CERT和研究人员xiaofeng zheng还建议站长在他们的顶级域名商部署HSTS（HTTP Strict Transport Security）。

来自FreeBuf黑客与极客（FreeBuf.com）

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！