近期涉及Cookies是网站不断将其保存在计算机上的文本文件内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于Cookies是网站不断将其保存在计算机上的文本文件最新消息。
据安全研究人员称,Internet Explorer中未修补的漏洞使攻击者可以通过cookie窃取登录凭据到各种网站。
攻击者可以利用Internet Explorer漏洞从用户计算机上窃取Cookie,然后使用保存的信息来访问用户数据。研究人员Rosario Valotta在5月20日于阿姆斯特丹举行的Box in the Hack安全会议中演示了该漏洞利用方法。
Cookies是网站不断将其保存在计算机上的文本文件,其中包含有关用户活动的信息,例如登录凭据,购物车的内容或用户最近访问过的站点。
攻击者必须猜测用户的帐户用户名,但可以使用“高级点击劫持技术”来找到密码。当用户被诱骗点击看起来无害但被设计为窃取信息的按钮或链接时,就会发生点击劫持。根据5月23日在他的Tentacolo Viola博客上发表的一篇文章,“ cookiejackjacking”攻击违反了IE的跨区域交互策略,并利用了Internet Explorer所有版本中存在的零日漏洞,并且可以在所有Windows版本中利用该零日漏洞。
“任何cookie。任何网站。糟糕,” Valotta写道。被盗的Cookie可用于将恶意软件下载到用户计算机上或登录到用户帐户。概念证明的对象是Facebook,Twitter和Google Mail Cookies,但Valotta表示任何网站都可以作为目标。
Valotta创建了一个游戏,该游戏在新的Internet Explorer窗口中打开,以说明他的“ cookiejacking”技术。当用户通过单击和拖动对象来玩游戏时,真正发生的是打开了cookie文件,并选择并复制了文件的内容。这样,攻击者可以拦截该Web会话中用户访问的任何站点的cookie。为了使攻击起作用,攻击者将需要知道目标使用的Windows操作系统版本,因为cookie存储在不同的位置。
瓦洛塔说,他把测试用例放在了Facebook上,得到了80个回复。
Internet Explorer使用“安全区域”根据信任级别对网站进行分组,并防止来自不同区域的内容进行交互。用户认为安全的站点(分配给较高信任区域)不应与信任程度较低的站点共享信息。Valotta写道,当使用嵌入在恶意文件中的IFrame将Cookie文件加载到浏览器中时,它违反了跨区策略,因为“ Internet页面正在访问本地文件”。
仅在IFrame中显示cookie文件的内容是不够的,因为Internet Explorer不允许网站使用JavaScript访问数据。这就是为什么Valotta创建游戏以诱使用户将游戏内容(实际上是cookie内容)拖放到“攻击者控制的HTML元素”中的原因。
瓦洛塔(Valotta)告诉The Register: “对于攻击者而言,这很复杂,但对受害者而言却并非如此。
在发起一次成功的攻击之前,此人需要获得的东西数量使其对用户而言只是中等风险。考虑到许多恶意攻击都涉及诱使用户放弃用户名,并且有流氓门户网站已经在提供自定义有效负载之前检查了受害者正在运行的操作系统,因此“障碍”都不会减慢对使用此技术感兴趣的任何分子的速度。Valotta还指出,当从远程服务器获取图像或其他资源时,Internet Explorer会自动以纯文本形式返回用户名。攻击者需要的只是一个脚本来“嗅探”用户名。
微软发言人告诉eWEEK,微软已经意识到了这个问题,并将在即将发布的更新中推出补丁。
