近期，一個存在于主要瀏覽器的Web cookie中的嚴重漏洞被發現，它使安全的瀏覽方式(HTTPS)容易遭受中間人攻擊。此外，大部分Web網站和流行的開源應用程序中可能都含有Cookie注入漏洞，包括：谷歌、亞馬遜、eBay、蘋果、美國銀行、BitBucket、中國建設銀行、中國銀聯、京東、phpMyAdmin以及MediaWiki。

[[150654]]

美國計算機緊急響應小組(CERT)披露(補充：中國研究者xiaofeng zheng發現了這個安全問題，美國專業安全媒體thehacknews不知何因在報道中忽略了該研究人員的名字)，所有的主要瀏覽器廠商不恰當地實現了RFC 6265標準，也稱為“瀏覽器Cookie”，這使得遠程攻擊者能夠繞過安全的HTTPS協議，并能夠泄露秘密的私人會話數據。

HTTPS Cookie注入漏洞

Cookie是Web網站發送到Web瀏覽器上的一小片數據，它包含用戶識別用戶身份的各種信息，或儲存了與該網站相關的任何特定信息。當一個你訪問過了的網站想要在你的瀏覽器中設置一個Cookie時，它會傳遞一個名為“Set-Cookie”的頭、參數名稱、它的值和一些選項，包括Cookie的過期時間和域名(它有效的原因)。

此外，同樣重要的是要注意一點，基于HTTP的網站不以任何方式加密頭信息，為了解決這個問題，網站使用帶有“安全標志(secure flag)”的HTTPS Cookie，這表明Cookie必須通過一個安全的HTTPS連接發送(從瀏覽器到服務器)Cookie。然而，研究人員發現，一些主要的Web瀏覽器通過HTTPS接受Cookie，甚至沒有驗證HTTPS Cookie的來源(Cookie forcing)，這使得在明文傳輸的HTTP瀏覽會話中，處于中間人攻擊位置的攻擊者將注入Cookie中，而這些Cookie將用于安全的HTTPS加密會話。

對于一個不受保護的瀏覽器，攻擊者可以將HTTPS Cookie偽裝成另一個網站(example.com)，并以這種方式覆蓋真正的HTTPS Cookie，這樣即使用戶查看他們的Cookie名單，可能也不會意識到這是一個虛假的網站?，F在，這個惡意的HTTPS Cookie由攻擊者控制，因此他能夠攔截和抓取私人會話信息。

影響范圍

在8月份華盛頓舉辦的第24屆USENIX安全研討會上，該問題首次被披露。當時，研究人員xiaofeng zheng展示了他們的論文，文中提到大部分Web網站和流行的開源應用程序中可能都含有Cookie注入漏洞，包括：谷歌、亞馬遜、eBay、蘋果、美國銀行、BitBucket、中國建設銀行、中國銀聯、京東、phpMyAdmin以及MediaWiki。此外，受影響的主流Web瀏覽器包括以下瀏覽器的早期版本：

1、蘋果的Safari

2、Mozilla的Firefox

3、谷歌的Chrome

4、微軟的IE瀏覽器

5、微軟的Edge

6、Opera

然而，好消息是，這些供應商現在已經解決了這個問題。所以，如果你想保護自己免受這種Cookie注入、中間人攻擊向量，那么就將這些瀏覽器升級到最新版本。

CERT和研究人員xiaofeng zheng還建議站長在他們的頂級域名商部署HSTS(HTTP Strict Transport Security)。