有位Web security的專家Mike在他最近撰寫的論文中提到,因為相同網域直接信任的問題,很多企業都忽略了在同一個網域中,若是子網域(subdomain)被惡意人士攻陷了,很可能會利用其所竊取到的cookie,進而獲得主網域(parent domains)的信任,讓更個網站淪陷。
在作者的論文中,以概念驗證方式(proof-of-concept)說明這種方式可能對一些特定網站造成影響,像是google和銀行網站等。若未受安全防護的cookie受到竊取竄改,最明顯的傷害就是讓惡意人士可以取得連線資訊如帳號、密碼等,也可以更改session甚至是購物車的內容,建議電子商務網站的管理人員務必要小心才行。
[新聞連結] Browser cookie handling could widen web attack space
[論文連結] Exploiting DNSbased Trust Relationships On The Web
2009年11月5日 星期四
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言