-
-
新型漏洞:利用浏览器Cookie绕过HTTPS并窃取私人信息
-
发表于: 2015-9-28 20:08 1301
-
新闻链接:http://www.freebuf.com/news/79934.html
新闻时间:9月26日
新闻正文:
近期,一个存在于主要浏览器的Web cookie中的严重漏洞被发现,它使安全的浏览方式(HTTPS)容易遭受中间人攻击。此外,大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞,包括:谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。
在8月份华盛顿举办的第24届USENIX安全研讨会上,该问题首次被披露。当时,研究人员xiaofeng zheng展示了他们的论文,文中提到大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞,包括:谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。此外,受影响的主流Web浏览器包括以下浏览器的早期版本:
1、苹果的Safari
2、Mozilla的Firefox
3、谷歌的Chrome
4、微软的IE浏览器
5、微软的Edge
6、Opera
然而,好消息是,这些供应商现在已经解决了这个问题。所以,如果你想保护自己免受这种Cookie注入、中间人攻击向量,那么就将这些浏览器升级到最新版本。
CERT和研究人员xiaofeng zheng还建议站长在他们的顶级域名商部署HSTS(HTTP Strict Transport Security)。
来自FreeBuf黑客与极客(FreeBuf.com)
新闻时间:9月26日
新闻正文:
近期,一个存在于主要浏览器的Web cookie中的严重漏洞被发现,它使安全的浏览方式(HTTPS)容易遭受中间人攻击。此外,大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞,包括:谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。
在8月份华盛顿举办的第24届USENIX安全研讨会上,该问题首次被披露。当时,研究人员xiaofeng zheng展示了他们的论文,文中提到大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞,包括:谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。此外,受影响的主流Web浏览器包括以下浏览器的早期版本:
1、苹果的Safari
2、Mozilla的Firefox
3、谷歌的Chrome
4、微软的IE浏览器
5、微软的Edge
6、Opera
然而,好消息是,这些供应商现在已经解决了这个问题。所以,如果你想保护自己免受这种Cookie注入、中间人攻击向量,那么就将这些浏览器升级到最新版本。
CERT和研究人员xiaofeng zheng还建议站长在他们的顶级域名商部署HSTS(HTTP Strict Transport Security)。
来自FreeBuf黑客与极客(FreeBuf.com)
赞赏
看原图
赞赏
雪币:
留言: