کوکی ها، فایل هایی هستند که وب سایت ها برای حفظ کاربران لاگین شده و ردگیری سایر اطلاعات آن ها در مرورگر ایجاد می کنند.
این کوکی ها می توانند توسط مهاجمان برای استخراج اطلاعات حساس از ارتباطات رمزگذاری شده HTTPS مورد سوء استفاده قرار بگیرند.
مسائل مربوط به ایجاد و مدیریت کوکی ها، مکانیزمی برای ایزوله کردن یا بررسی یکپارچگی آن ها ارائه نمی دهد.
هم چنین مرورگرهای وب دامنه هایی که کوکی ها را آماده می کنند را احراز هویت نمی کنند. در نتیجه مهاجمان خرابکار می توانند کوکی هایی را از طریق ارتباطات ساده HTTP تزریق کنند و این کوکی ها به جای کوکی های تولید شده توسط سایت های HTTPS ارسال می شود.
یکی از دلایل وقوع این اتفاق آن است که زیردامنه ها می توانند کوکی هایی را ایجاد کنند که برای دامنه های والد یا سایر زیردامنه ها معتبر باشد.
به عنوان مثال، اگر دامنه subdomain.domain.com یک کوکی با صفات دامنه domain.com ایجاد کند، آن کوکی باید توسط مرورگر به دامنه subdomain2.domain.com نیز ارسال شود. سایت میزبانی شده بر روی دامنه subdomain2 قادر نیست تا کوکی خودش را با کوکی تقلبی تشخیص دهد.
هم چنین کوکی ها نمی توانند توسط شماره پورت ایزوله شوند. یک سرور می تواند چندین وب سایت را از طریق دامنه یکسان اما بر روی پورت های مختلف میزبانی کند. این وب سایت ها قادر خواهند بود تا کوکی های یکدیگر را بخوانند و یا بنویسند.
تمامی این ناسازگاری ها می توانند به مهاجمان MitM اجازه دهند تا حملات تزریق کوکی را اجرا نمایند و می توانند برای استخراج اطلاعات حساس از ارتباطات HTTPS مورد سوء استفاده قرار بگیرند.
گروهی از محققان امنیتی از دانشگاه های معتبر تحقیقی را انجام دادند و دریافتند که می توان گجت های چت کاربران را در واسط جیمیل به سرقت برد، تاریخچه های جستجوی گوگل را دزدید، اطلاعات کارت اعتباری وب سایت UnionPay چینی را به سرقت برد، کارت های خرید را بر روی سایت های تجاری الکترونیکی ردگیری و دستکاری کرد، تاریخچه خریدهای سایت آمازون را ردگیری کرد و بسیای سوء استفاده های دیگر را می توان از طریق سوء استفاده از نقاط ضعف کوکی ها اجرا نمود.
استفاده از مکانیزم HSTS برای مجبور کردن مرورگر به دسترسی دائمی از طریق ارتباطات HTTPS می تواند تا حدودی با خطرات مقابله کند.
آخرین نسخه از تمامی مرورگرهای اصلی از HSTS پشتیبانی می کنند اما به منظور استفاده موثر از این مکانیزم علیه حملات تزریق کوکی، وب سایت ها باید این مکانیزم را پیاده سازی کنند.
با توجه به داده های آماری تنها 4.5 % از وب سایت های HTTPS از مکانیزم HSTS پشتیبانی می کنند.
فسا-پسا