报告简介:
Cookie在HTTP协议中用于状态管理,对Web应用非常重要。然而,现有协议和浏览器的实现中,对Cookie的完整性缺乏有效的保护,攻击者通过中间人的方式可以通过明文的HTTP会话注入Cookie,覆盖或屏蔽后续HTTPS加密会话中使用的Cookie。除了中间人方式,Web攻击者还可以通过域名相关的网站实现这种攻击。我们的论文通过深入的实证研究展示这种攻击的原理、危害和现实世界中漏洞存在的普遍性。我们发现世界上许多重要的网站(包括Google, Bank of America, Amazon等)都存在Cookie注入攻击的风险,同时也发现许多主流的浏览器(包括Chrome, Firefox, Safari)的实现上也存在一些漏洞使这一威胁更加严重。我们在许多重要的应用中展示了这种攻击的后果,包括在线账号劫持、隐私泄露、支付劫持,给用户带来直接的财务损失。最后我们讨论了各种防范或降低这种攻击风险的措施,包括 部署HSTS、修补浏览器,以及我们自己开发的一个浏览器扩展,它实现了Cookie在HTTP和HTTPS传输中更加严格的隔离。
报告人简介:
段海新,博士,研究员,博士生导师。就职于清华大学网络科学与网络空间研究院,网络和信息安全研究室主任,加州大学伯克利访问学者。长期致力于网络安全相关的教学、科研和运行管理工作,多篇论文发表在国际顶级的网络安全会议上,并获国际安全顶级学术会议NDSS2016杰出论文奖,2016年中央网信办组织的网络安全“优秀人才奖”。主要研究兴趣:网络基础设施(域名、路由、公钥基础设施等)安全、Web安全、入侵检测和网络测量等。联系方式:duanhx@tsinghua.edu.cn, 个人主页:http://netsec.ccert.edu.cn/duanhx