Il possesso del cookie di qualcuno è sufficiente per aggirare un meccanismo di autenticazione in modo che possa accedere al suo account? Voglio dire se il flag "sicuro" è impostato sul cookie, quindi viene crittografato, quindi l'attaccante non ha fortuna. Se il flag HTTPonly è impostato, il codice Java Script non sarà in grado di leggerlo, ma anche se lo fa è solo una stringa casuale che verrà raccolta in modo che l'hacker possa sapere dove inviare il cookie?
Di solito con le applicazioni web, dopo che l'utente si è autenticato, il server fornirà un cookie di sessione al browser, che viene fornito con ogni successiva richiesta all'applicazione in luogo del fatto che l'utente fornisca la password con ciascuna richiesta.
Pertanto, se un utente malintenzionato è in grado di rubare un cookie di sessione di un utente ed effettuare richieste al server, è probabile che il server accetti che la richiesta provenga dall'utente originale e fornisca l'accesso all'applicazione, a condizione che il cookie rimane valido.
Tutto ciò sta parlando in generale, in casi specifici potrebbero essere utilizzati meccanismi aggiuntivi per mitigare il rischio di furto di cookie.
È possibile emettere più cookie utilizzando più intestazioni Set-Cookie nella risposta del server. Questi sono presentati torna al server nella stessa intestazione Cookie, con un punto e virgola che separa diversi cookie individuali. Nella maggior parte dei casi, le applicazioni utilizzano i cookie HTTP come meccanismo di trasmissione per passare questi token di sessione tra server e client. Il primo server la risposta a un nuovo client contiene un'intestazione HTTP come la seguente:
Set-Cookie: ASP.NET_SessionId=mza2ji454s04cwbgwb2ttj55
e le successive richieste dal client contengono questa intestazione:
Cookie: ASP.NET_SessionId=mza2ji454s04cwbgwb2ttj55
Questo meccanismo di gestione delle sessioni standard è intrinsecamente vulnerabile a varie categorie di attacco. L'obiettivo principale di un attaccante nel mirare il meccanismo è in qualche modo dirottare la sessione di un utente legittimo e quindi masquerade come quella persona
Questo è generalmente il caso, ma dipende interamente da come l'applicazione è codificata. Se quel cookie è l'unica cosa che cattura la sessione allora sì. Per quanto riguarda la sicurezza dei cookie. Assicurati di impostare la bandiera sicura come hai detto tu. Inoltre, assicurarsi di utilizzare qualcosa approvato dalla comunità di sicurezza per garantire sufficiente entropia. A volte è possibile prevedere i futuri cookie se non sono sufficientemente casuali. Inoltre, assicurati di impostare il flag http solo su di esso. Ciò impedisce l'accesso da JavaScript. Se un sito è vulnerabile a xss, un utente malintenzionato potrebbe facilmente creare un vettore di attacco, utilizzare document.cookie e trasportare tale cookie in una posizione remota, se non è impostato il flag http only.
Leggi altre domande sui tag cookies