Quali sono le implicazioni sulla sicurezza di consentire cookie di dimensioni illimitate?

5

Il nostro firewall dell'applicazione blocca le richieste se rileva che un cookie è presente con un valore superiore a 1024 caratteri.

Esistono exploit che coinvolgono cookie di grandi dimensioni?

vale a dire. Quanto più sicuro è limitare la dimensione dei cookie a 1024 anziché pronunciare 2048 caratteri.

Quali sono le implicazioni per la sicurezza di consentire cookie di dimensioni illimitate (con il browser massimo)?

    
posta Paul H 02.11.2012 - 17:47
fonte

3 risposte

5

Sembra probabile che la restrizione riguardi di più la disabilitazione di qualcosa che sembra probabile essere malevolo rispetto a una minaccia specifica, tuttavia ci sono alcuni potenziali rischi che potrei pensare con i cookie di grandi dimensioni.

  • Negazione del servizio. Supponendo che l'applicazione elabori i cookie, un valore di cookie molto elevato potrebbe causare l'elaborazione eccessiva dell'applicazione, che conduce a un'app. DoS
  • Tentativo di sfruttare una condizione di sovraccarico. Se l'applicazione avesse una sorta di condizione di sovraccarico del buffer nel codice di gestione dei cookie, un cookie di grandi dimensioni potrebbe attivarlo.

Tutto ciò che ha detto la risposta breve dipende dall'applicazione dietro il WAF e, supponendo che non abbia difetti nel codice di gestione coookie, non vedo alcun motivo particolare per impostare un limite rigido di 1024 caratteri per un valore del cookie.

    
risposta data 02.11.2012 - 17:55
fonte
2

Un rischio con i cookie di grandi dimensioni è che possono essere utilizzati per attivare attacchi di overflow di cookie jar. Alcuni browser hanno limiti fissi sulla quantità di dati che conserveranno nel contenitore dei cookie. Pertanto, se un utente malintenzionato dice al tuo browser di ricordare un cookie di grandi dimensioni, questo potrebbe causare l'eliminazione o l'eliminazione di alcuni altri cookie dal contenitore dei cookie. Ciò può a sua volta consentire alcuni attacchi.

Ulteriori dettagli:

  • Estratto dal Manuale sulla sicurezza del browser :

    "Problems with cookie jar size: standards do relatively little to specify cookie count limits or pruning strategies. Various browsers may implement various total and per-domain caps, and the behavior may result in malicious content purposefully disrupting session management, or legitimate content doing so by accident."

  • Corse per il downgrade degli utenti all'autenticazione senza cookie - Descrive come un sito dannoso può scrivere abbastanza cookie nel barattolo del cookie del browser per raggiungere il limite, il che fa in modo che altri siti eseguano le modalità di gestione senza cookie (che potrebbero essere meno sicure).

  • cookie HTTP, o come non progettare protocolli - descrive gli attacchi e i punti deboli che si verificano a seguito del modo in cui i browser eliminano il contenitore dei cookie quando ricevono troppi dati sui cookie. Vedi in particolare le sezioni intitolate "8K dovrebbe essere sufficiente per tutti" e "Oh, per favore, nessuno in realtà dipende da loro".

risposta data 03.11.2012 - 02:26
fonte
1

Questo probabilmente impedisce che un HTTPSolo exploit di divulgazione dei cookie che ha colpito Apache .

    
risposta data 02.11.2012 - 20:49
fonte

Leggi altre domande sui tag