A CERT/CC figyelmeztet a cookie-k veszélyére

A cookie-k (sütik) széles körben alábecsült biztonsági kockázatot jelenteken egy biztonságos HTTPS kapcsolatban. Minden böngésző hajlamos olyan adatokat kiadni, amik használhatóak privát adatok megszerzésére.

Egy nemzetközi csapat szerint az összes használt böngésző tartalmaz olyan sérülékenységet, mely segítségével ha egy támadó manipulál egy cookie-t, olyan bizalmas adatokhoz férhet hozzá ami TLS csatornán keresztül van titkosítva.

A sütiket gyakran használják egy bejelentkezett felhasználó azonosítására, ami minden esetben egy egyedi munkamenet-azonosító. Minden kapcsolódásnál a böngésző elküldi a tárolt cookie-t a szervernek, ami ez alapján történik a beazonosítás.

A probléma: a böngésző nem tesz különbséget a különböző források között, tehát egy https kapcsolaton ugyanaz a cookie kerül felhasználásra, amit korábban egy titkosítatlan http kapcsolaton küldenek el a szervernek.

Ezt kihasználva egy titkosítatlan kommunikációban a támadó képes lehet generálni, és bármilyen tartalommal pl: a támadó saját session ID) feltölteni egy sütit.

Forrás:

Címkék

cookie


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »