CookieMonster ворует cookies с персональной информацией

image

Теги: HTTPS, cookie, Python

Программист Майкл Перри разработал инструментарий CookieMonster, позволяющий обманным путем получить cookies, используемые для авторизации на различных ресурсах.

Программист по имени Майк Перри обнаружил, что защищенные подключения HTTPS, используемые при доступе к банковским счетам и другим услугам через Интернет, не являются настолько безопасными, какими их принято считать.

Каждый раз, когда пользователь вводит персональные данные для получения доступа к своей учетной записи, эта секретная информация в виде cookie-файла передается по безопасному каналу. Однако Перри обнаружил, что разработчики сайтов не могут отделить защищенные элементы cookies от незащищенных и, используя достаточно несложную методику, злоумышленник может обмануть браузер и добиться передачи cookies-файлов в рамках обычного http-соединения. Приложение CookieMonster, написанное на языке Python, позволяет воспользоваться обнаруженной уязвимостью любому желающему.

Разработчик CookieMonster свою программу ограниченному числу экспертов в области информационной безопасности, однако в недалеком будущем планирует выложить его в открытый доступ.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus