¿Cuáles son las implicaciones de seguridad de permitir cookies de tamaño ilimitado?

5

El firewall de nuestra aplicación bloquea las solicitudes si detecta que hay una cookie con un valor superior a 1024 caracteres.

¿Hay alguna vulnerabilidad que involucre cookies grandes?

es decir, Cuánto más seguro es restringir el tamaño de las cookies a 1024 en lugar de decir 2048 caracteres.

¿Cuáles son las implicaciones de seguridad de permitir cookies de tamaño ilimitado (máximo del navegador)?

    
pregunta Paul H 02.11.2012 - 17:47
fuente

3 respuestas

5

Parece probable que la restricción tenga más que ver con rechazar algo que probablemente sea malicioso que una amenaza específica, sin embargo, hay algunos riesgos potenciales que podría pensar con cookies grandes.

  • Denegación de servicio. Suponiendo que la aplicación procesa las cookies, entonces un valor de cookie muy grande podría hacer que la aplicación realice un procesamiento excesivo, lo que lleva a una aplicación. DoS
  • Intente explotar una condición excedida. Si la aplicación tenía algún tipo de condición de saturación del búfer en el código de manejo de cookies, entonces una cookie grande podría desencadenar eso.

Todo lo que dice la respuesta corta es que depende de la aplicación detrás del WAF, y asumiendo que no tiene fallas en el código de manejo de coookie, no veo ninguna razón en particular para establecer un límite estricto de 1024 caracteres para un valor de cookie.

    
respondido por el Rоry McCune 02.11.2012 - 17:55
fuente
2

Un riesgo con las cookies grandes es que se pueden usar para montar ataques de desbordamiento de cookie jar. Algunos navegadores tienen límites fijos en la cantidad de datos que almacenarán en el contenedor de cookies. Por lo tanto, si un atacante le dice a su navegador que recuerde una cookie grande, esto puede hacer que otras cookies se olviden o eliminen del contenedor de cookies. Eso a su vez puede permitir algunos ataques.

Más detalles:

respondido por el D.W. 03.11.2012 - 02:26
fuente
1

Esto es probablemente para evitar un la vulnerabilidad de la cookie HTTPOnly que afectó a Apache .

    
respondido por el rook 02.11.2012 - 20:49
fuente

Lea otras preguntas en las etiquetas