쿠키 몬스터 공격
Cookiemonster attackCookieMonster 공격은 "암호화된 세션만" 속성이 제대로 설정되지 않은 경우 제3자가 HTTPS 쿠키 데이터를 얻을 수 있는 중간 공격입니다.이를 통해 중요한 개인 또는 금융 [1]정보가 있는 사이트에 액세스할 수 있습니다.
보안 연구원 마이크 페리가 개발한 파이썬 기반 도구입니다.
Perry는 2007년 BugTraq에서 CookieMonster에 의해 악용된 취약성을 처음 발표했습니다.1년 후, 그는 Defcon [2]16에서 CookieMonster를 개념 증명 도구로 시연했습니다.
World Wide Web 사용자는 이러한 공격에 대해 보호되지 않는 웹 사이트를 방지하여 쿠키 몬스터 공격에 대한 노출을 줄일 수 있습니다.특정 웹 브라우저를 사용하면 사용자가 어떤 사이트인지 확인할 수 있습니다.예를 들어 Firefox 브라우저 사용자는 기본 설정 창의 개인 정보 탭으로 이동하여 '쿠키 표시'를 클릭할 수 있습니다.지정된 사이트에 대해 사이트의 최상위 수준 이름과 하위 도메인 이름에 대한 개별 쿠키를 검사하면 '보내기: 암호화된 연결만'이 설정되었는지 여부가 확인됩니다.해당 쿠키가 있는 경우 사용자는 쿠키를 삭제하고 사이트를 다시 방문하여 쿠키 몬스터 공격에 대한 사이트의 취약성을 테스트할 수 있습니다.사이트에서 여전히 사용자를 허용하면 사이트는 CookieMonster [3][4]공격에 취약합니다.
영향을 받는 웹 사이트
쿠키 몬스터의 영향을 받은 것으로 알려진 웹 사이트는 [5]다음과 같습니다.
- Gmail, Blogger, Google Docs, Google Finance 및 검색 내역을 포함한 Google 서비스
- 항공사/여행 웹사이트:사우스웨스트, 유나이티드, 익스피디아, USAirways.com , priceline.com
- 은행: 내셔널 시티, USAA, 파텔코, 캐피털 원
- 도메인 등록자: Register.com , namesecure.com
- 판매자: 이베이, wireless.att.com , 넷플릭스, 뉴에그
참고 항목
레퍼런스
- ^ Goodwin, Dan. "CookieMonster nabs user creds from secure sites • The Register". www.theregister.co.uk. Retrieved 2009-02-18.
- ^ Perry, Mike (4 August 2008). "CookieMonster: Cookie Hijacking fscked.org". fscked.org. Retrieved 2018-12-18.
- ^ Claburn, Thomas (11 September 2008). "CookieMonster Can Steal HTTPS Cookies -- Security -- InformationWeek". InformationWeek. Archived from the original on 12 September 2008.
- ^ Goodin, Dan (11 Sep 2008). "CookieMonster nabs user creds from secure sites". www.theregister.co.uk. Retrieved 2018-12-18.
- ^ Perry, Mike (24 August 2008). "Incomplete List of Alleged Vulnerable Sites fscked.org". fscked.org. Retrieved 2018-12-18.
외부 링크
- 페리의 데프콘 프레젠테이션(유튜브)
- https://fscked.org/proj/cookiemonster/ActiveHTTPSCookieStealing.pdf - Defcon 프레젠테이션 슬라이드
- http://fscked.org/blog/cookiemonster-core-logic-configuration-and-readmes
