Кража кук через поддомены - еще один привет из прошлого
dl // 04.11.09 11:17
Исследователь из Foreground Security Майк Бейли (Mike Bailey) обратил внимание еще на одну потенциальную слабость в базовых интернет-протоколах, восходящую к временам, когда об удобстве думали больше, чем о безопасности.
[Не забывайте при копировании материала указывать полный адрес источника: http://bugtraq.ru/rsn/archive/2009/11/01.html]
Слабость эта восходит к RFC 2965, согласно которому браузеры позволяют поддоменам устанавливать и читать куки, установленные доменами верхнего уровня. И если кука в поддомене не существует, вместо нее следует использовать куку родительского домена. В тривиальных случаях типа www.bugtraq.ru/bugtraq.ru удобство этого подхода очевидно, но в ситуациях, когда на поддомене расположен другой сайт (а такое происходит сплошь и рядом - вынос второстепенных функций, предоставление поддомена пользователям и т.п.), появляется возможность перехвата кук родительского сайта либо в результате злонамеренных действий владельца дочернего, либо в результате его ошибки, приводящей к потенциальному XSS.
Бейли привел несколько примеров реальных сайтов, страдающих от этого подхода - так, XSS на www.advertising.expedia.com позволяла внедрять куки на expedia.com, а поскольку там еще и с фильтрацией не задалось, в конечном итоге внедрять в страницы expedia.com произвольный javascript.
подробно о проекте
Знакомьтесь: проект Namecoin, будущий...
