Cookie Poisoning
Copyright © Shutterstock / Matt Benoitt
Was ist Cookie Poisoning?
Definition
Bei Cookie Poisoning handelt es sich im Web um die Modifizierung eines Cookies durch einen Angreifer, um nicht autorisierte Informationen über den Benutzer zu erhalten. Der Angreifer kann die Informationen verwenden, um neue Konten zu eröffnen oder auf die vorhandenen Konten des Benutzers zuzugreifen.
Beschreibung
Auf der Festplatte Ihres Computers gespeicherte Cookies enthalten Informationen, die es den von Ihnen besuchten Websites ermöglichen, Ihre Identität zu authentifizieren, Ihre Transaktionen zu beschleunigen, Ihr Verhalten zu überwachen und Ihre Präsentationen für Sie zu personalisieren.
Cookies können jedoch auch von Personen abgerufen werden, die dazu nicht berechtigt sind. Wenn keine Sicherheitsmaßnahmen vorhanden sind, kann ein Angreifer einen Cookie auf seinen Zweck prüfen und ihn so bearbeiten, dass er Benutzerinformationen von der Website erhält, auf der das Cookie gesendet wurde.
Um Cookie Poisoning zu verhindern, sollten Websites, die sie verwenden, Cookies durch Verschlüsselung schützen, bevor sie an den Computer eines Benutzers gesendet werden. Es wird eine digitale Signatur erstellt, mit der der Inhalt in allen zukünftigen Kommunikationen zwischen Absender und Empfänger überprüft wird. Wenn der Inhalt manipuliert wird, stimmt die Signatur nicht mehr mit dem Inhalt überein und der Zugriff wird vom Server abgelehnt.
Bei einer Security Prüfung werden Benutzereingaben in Abfragezeichenfolgeparametern und POST-Daten untersucht, um zu ermitteln, wo Cookie-Parameter gesteuert werden können. Dies wird als Cookie Poisoning bezeichnet und kann ausgenutzt werden, wenn ein Angreifer den Cookie auf verschiedenen Wegen manipulieren kann. In einigen Fällen kann dies nicht ausgenutzt werden. Das Festlegen von Cookie-Werten durch URL-Parameter wird jedoch im Allgemeinen als Fehler betrachtet.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Vorbeugen von Cookie Poisoning
ASP.NET-Anwendungen sind anfällig für Cookie Poisoning und der Schutz gegen diesen Angriff ist ein mehrstufiger Prozess.
- Speichern Sie keine vertraulichen Informationen in Cookies
- Wenn sensible Informationen in Cookies gespeichert werden müssen, ist es für einen Benutzer äußerst schwierig, diese erfolgreich zu ändern
- Überprüfen Sie alle Cookie-Werte, um sicherzustellen, dass sie gut gestaltet und korrekt sind
Die allgemeine Methode zum Schutz von Daten gegen Cookie-Vergiftung beinhaltet das Verschlüsseln der Anfragen oder Transaktionen. Verschiedene Dienste können Clients und Endbenutzern dabei helfen, gesendete Daten zu verschlüsseln, sodass sie für diejenigen, die mithilfe von Cookie Poisoning auf sie zugreifen können, nicht mehr transparent sind.
Sie haben noch Fragen?
