¿Utilizando la "Técnica de Hash Dinámico" para proteger las cookies de XSS?

1

Este documento parece describir una solución en la que los ataques XSS que roban cookies se hacen inútiles por Hacer que el servidor envíe a los clientes una cookie con un nombre hash. Cuando el usuario envía la cookie de nuevo al servidor, el servidor tomará el hash y volverá a generar el nombre original de la cookie. Por lo tanto, supuestamente, incluso si los atacantes robaron la cookie del usuario "no podrían usarla".

No entiendo cómo esto haría que la cookie fuera inútil para el atacante. Siempre y cuando el usuario real no haya iniciado sesión / salido del sitio web y haya provocado que el servidor genere un nuevo hash para el nombre de la cookie, ¿no podría el atacante simplemente enviar este nombre de la cookie con hash al servidor y recuperar la misma información? ? El servidor simplemente tomaría el hash, volvería a generar el nombre original de la cookie como de costumbre y devolvería otra cookie / información apropiada.

Soy nuevo en el área de seguridad de la información, por lo que podría ser debido a mi conocimiento de los principiantes en el campo que esto no tiene sentido para mí. Pero el papel tampoco parece transmitir la idea muy claramente.

¡Si alguien pudiera arrojar luz sobre si / cómo esto sería realmente un método viable para prevenir el XSS, sería muy apreciado!

    
pregunta LazerSharks 13.03.2014 - 00:30
fuente

2 respuestas

3

Estoy de acuerdo con usted en que el enfoque que se sugiere en este documento no tiene ningún sentido. Un atacante podría robar el hash y usar este para acceder a la cuenta de la víctima.

    
respondido por el DanielE 13.03.2014 - 08:43
fuente
3

Si leo el documento correctamente, parece que los autores proponen reemplazar la cookie con un valor separado pasado como POSTdata o concatenado con la URL de una solicitud POST o GET. Si bien es técnicamente cierto que eliminar la cookie y hacer otra cosa para la administración de la sesión hace que el ataque de la cookie sea inútil, el atacante simplemente atacará el identificador de la sesión de reemplazo, tal como espera.

El intento de acercamiento se reduce a la ofuscación. En el mejor de los casos, este enfoque será útil si se implementa en una pequeña cantidad de sitios de tráfico extremadamente bajo. Si se convierte en algo común, los atacantes simplemente automatizarán su ataque para perseguir este valor también.

Vale la pena señalar que los identificadores de sesión siempre han sido posibles de transmitir adjuntos a la URL o en los postdatos. Esto se implementó originalmente como una forma de admitir navegadores web que no admitían cookies. Es probable que las herramientas automatizadas ya busquen valores como este, y no engañen a un probador manual.

    
respondido por el atk 13.03.2014 - 01:06
fuente

Lea otras preguntas en las etiquetas