¿Poseer la cookie de alguien es suficiente para omitir un mecanismo de autenticación para que se me otorgue acceso a su cuenta? Quiero decir que si el indicador "seguro" está activado en la cookie, entonces está cifrado para que el atacante no tenga suerte. Si el indicador HTTPonly está establecido, el código Java Script no podrá leerlo, pero incluso si lo hace, es solo una cadena aleatoria que se recopilará, ¿cómo puede el atacante saber dónde enviar la cookie?
Generalmente, con las aplicaciones web, una vez que el usuario se ha autenticado, el servidor proporcionará una cookie de sesión al navegador, que se entrega con cada solicitud posterior a la aplicación en lugar de que el usuario proporcione su contraseña con cada solicitud.
Como tal, si un atacante puede robar la cookie de sesión de un usuario y realizar solicitudes al servidor, es probable que el servidor suponga que la solicitud proviene del usuario original y que proporcionará acceso a la aplicación, siempre que la cookie sigue siendo válida.
Todo esto se refiere en general, en casos específicos se pueden usar mecanismos adicionales para mitigar el riesgo de robo de cookies.
Se pueden emitir varias cookies utilizando múltiples encabezados Set-Cookie en la respuesta del servidor. Estos son presentados volver al servidor en el mismo encabezado de cookie, con un punto y coma separando Diferentes cookies individuales. En la mayoría de los casos, las aplicaciones utilizan cookies HTTP como mecanismo de transmisión. para pasar estos tokens de sesión entre el servidor y el cliente. El primer servidor La respuesta a un nuevo cliente contiene un encabezado HTTP como el siguiente:
Set-Cookie: ASP.NET_SessionId = mza2ji454s04cwbgwb2ttj55
y las solicitudes posteriores del cliente contienen este encabezado:
Cookie: ASP.NET_SessionId = mza2ji454s04cwbgwb2ttj55
Este mecanismo de gestión de sesión estándar es inherentemente vulnerable a Varias categorías de ataque. El objetivo principal de un atacante en apuntar a la mecanismo es secuestrar de alguna manera la sesión de un usuario legítimo y por lo tanto disfrazarse de esa persona
Este es generalmente el caso, pero depende completamente de cómo se codifique la aplicación. Si esa cookie es lo único que captura la sesión, entonces sí. En cuanto a seguridad de cookies se refiere. Asegúrate de establecer la bandera segura como dijiste. Además, asegúrese de usar algo aprobado por la comunidad de seguridad para garantizar una entropía suficiente. A veces es posible predecir futuras cookies si no son lo suficientemente aleatorias. Además, asegúrese de establecer el indicador de solo http en él. Esto evita que se pueda acceder desde JavaScript. Si un sitio es vulnerable a xss, un atacante podría crear fácilmente un vector de ataque, usar document.cookie y transportar esa cookie a una ubicación remota, si no está establecida la bandera de solo http.
Lea otras preguntas en las etiquetas cookies