近日,有研究员发出警告,如果你使用基于Web的登陆认证服务,比如登陆电子邮件或者网上银行帐户,那很可能会受到来自cookie monster的潜在攻击。
安全研究员 Mike Perry表示,“CookieMonster是基于Python的工具,它可以搜集到不安全的HTTPS cookies记录,包括Firefox的http cookies文件。”
HTTPS本该是十分安全的,其中的"S"代表了安全套接层(Secure Sockets Layer,SSL)的意思。可悲的是,很多网站并没有对它们的cookies设置“只允许加密会话”,而是采取开放式、未被保护的方式发送HTTPS cookies。这样,就会使得攻击者可以进行跨站点请求伪造攻击,注入带欺骗性的代码到用户访问的网页,从而获取相关cookies信息。
由于HTTPS cookies包含了身份验证的所有信息,他们可以用来访问在线银行帐户或者邮件帐户等。
Perry还在一篇博客中解释,“这类攻击的最重要方面,是大多数人忽略了其可以删除cookies中记载的不安全域名列表,其次,就是该工具可以放过任意一个并不安全的SSL站点。”
据悉,Perry已经对CookMonster进行了相应的一些改进,并将在短期内公布于众。
另外,他还提出以下测试,以查看你所使用的网站是否存有安全漏洞:在Firefox下,点击窗口中的隐私选项卡,并点击“显示cookies”。对于给定的网站,检查最高级别用户的个人cookies,当然任何子网域名称的也不例外。如果有任何“发送:只允许加密连接”的,删除它,然后再访问你登陆过的网站。如果它仍然显示你登陆,那么该网站并不安全,而且你的网络会话也可能被盗。你应该把此事报告给网站管理员。
经过这些步骤后,你会发现Google存有CookieMonster攻击漏洞。而一位Google发言人也证实确有此事,同时表示公司的工程师正与Perry协同工作,以消除该漏洞。
这位发言人还表示,“Gmail用户正关注这个问题是否能获得安全保护。我们也正在进行修复工作,以便在最短的时间内能够提供安全保障。”
当然,Google并不是唯一受此影响的公司。上个月,Perry就公布了一份拥有此漏洞的网站名单(http://fscked.org/blog/incomplete-list-alleged-vulnerable-sites),这些名单中,有各大不同的银行网站和旅行社网站。
