Как уменьшить вред от cookie-stealing XSS атак на Internet Explorer

06.11.2002 | 15:27
Майкл Ховард, специалист по безопасности из корпорации Microsoft, утверждает, что Microsoft Internet Explorer team был разработан метод для уменьшения вреда, который мог бы быть нанесен при проведении в адрес атакуемого браузера IE атаки cookie-stealing (похищение cookies) при использовании уязвимости XSS в IE.

Как утверждает Майкл, если Internet Explorer 6.0 SP1 обнаруживает cookie, cодержащий флаг HttpOnly, он возвращает пустую строку браузеру в ответ на запросивший cookie при помощи функции document.cookie скрипт. Однако, необходимо отметить, что подобный флаг должен устанавливать сервер, формирующий cookie на машине пользователя при обработке запроса.

Применение подобного метода, естественно, не устранит существование XSS-уязвимости, однако может значительно уменьшить ущерб, который может быть нанесен при попытке похищения cookie.

Подробности и способы выставки флага -

http://msdn.microsoft.com/library/en-us/dncode/html/secure10102002.asp.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код