Robo de Cookies

0
  1. ¿Es posible robar cookies a través de MITM en el sitio ' HTTPS ' si faltan las cookies "Secure 'Flag?

  2. ¿Es posible robar cookies a través de MITM en el sitio ' HTTP ' si las cookies tienen marca 'Secure'?

pregunta Anas 22.06.2018 - 15:09
fuente

1 respuesta

2
  

¿Es posible robar cookies a través de MITM en el sitio 'HTTPS' si a las cookies les falta el indicador 'Secure'?

Si el cliente realiza una solicitud HTTP, el navegador envía las cookies a través de HTTP de texto sin formato al servidor, y el atacante puede leer la cookie. Un atacante de hombre en el medio generalmente puede causar una solicitud HTTP modificando cualquier página HTTP. Por ejemplo, si navega a cualquier sitio HTTP, puede agregar <img src="http://yourbank.com/">,loqueprovocaráunasolicituddetextosimpleayourbank.com,conlascookies.

LaSeguridaddetransporteestricta(HSTS)protegecontraesto,yaqueobligaaquelaconexiónserealiceatravésdeHTTPS.

  

¿EsposiblerobarcookiesatravésdeMITMenelsitio'HTTP'silascookiestienenunamarca'Segura'?

No,porquelascookiesnoseenvíanatravésdeHTTPdetextosinformatositienenelindicadordeseguridad.Sinembargo,todavíapuedeserposibleconfigurarlascookies.Yanoesposiblesobrescribirlascookiessegurasexistentes , pero aún es posible crear una nueva cookie . Los prefijos de cookies evitan esto.

    
respondido por el Sjoerd 22.06.2018 - 16:20
fuente

Lea otras preguntas en las etiquetas