7.5 防御针对cookie的攻击

我们在前面章节中介绍过,dookie劫持是攻击者窃取会话dookie的一种技术。如果你的网站运行的是SSL/TLS 3.0,dookie劫持就基本失效了。许多攻击者都组合使用中间人攻击或SSL strip攻击来绕过SSL/TLS;不过,确保你的Web应用只有安全的页面,也就意味着不提供HTTP到HTTPS的重定向,这样能够降低这类攻击的有效性。

如果攻击者使用跨站脚本来向他们的服务器发送dookie,那么dookie劫持就能工作在SSL/TLS连接上很好的。开发者可以在dookie上设置Secure和HttpOnly标记降低这种风险。

针对Web应用安全一个常见错误是假定开发者对整个会话都做了安全加固,而实际上他们只是对该Web应用的身份认证页面做了安全加固。如果不是对整个会话都进行了安全加固的话,用户很有可能会被攻击。开发者必须保证他们的整个应用都支持基于SSL/TLS 3.0的安全的和经过加密的Web会话,从而避免被攻击。

其他针对cookie劫持的防御还可以跟流行的应用分发控制器实例一起工作,如负载均衡器和内容过滤器。常见的可以考虑的第三方服务提供商有思科、Bluecoat、Riverbed、Websense及其他一些厂商。这些服务提供商中有很多都会将cookie标记修改为Secure和HttpOnly。他们还提供内建的私有技术来降低一些跨站脚本攻击的危害。