中国科学院计算技术研究所
中国科学院
English
内网
中国科学院计算技术研究所
中国科学院
English
内网
MENU
Toggle navigation
首页
实验室介绍
实验室简介
实验室领导
固定人员
学术带头人
学术委员会
管理运行机制
实验室风貌
组织结构
联系我们
新闻动态
科研动态
实验室新闻
研究成果
科研项目
获奖成果
论文论著
发明专利
软件登记
研究队伍
院士专家
研究员
副研究员
人才招聘
合作交流
学术交流
合作项目
承办会议
研究生教育
招生信息
博士生导师
硕士生导师
博士后
毕业生交流
开放课题
指南通告
管理规定
历年资助
执行情况
国重快讯
创新文化
党群园地
形象标识
战略研究
仪器设备
管理制度
设备介绍
预约共享
当前位置 >>
首页
>>
通知公告
谁动了我的饼干——Web Cookie的完整性和现实威胁
撰稿:
摄影:
发布时间:2015年10月13日
报告时间:2015
年10
月16
日(周五)
下午 3:00-4:00
报告地点:计算所 446
室
主讲人:段海新
清华大学网络科学与网络空间研究员,
网络和信息安全研究室主任
报告摘要:
Cookie在HTTP协议中用于状态管理,对Web应用非常重要。然而,现有协议和浏览器的实现中,对Cookie的完整性缺乏有效的保护,攻击者通过中间人的方式可以通过明文的HTTP会话注入Cookie,覆盖或屏蔽后续HTTPS加密会话中使用的Cookie。除了中间人方式,Web攻击者还可以通过域名相关的网站实现这种攻击。我们的论文通过深入的实证研究展示这种攻击的原理、危害和现实世界中漏洞存在的普遍性。我们发现世界上许多重要的网站(包括Google, Bank of America, Amazon等)都存在Cookie注入攻击的风险,同时也发现许多主流的浏览器(包括Chrome, Firefox, Safari)的实现上也存在一些漏洞使这一威胁更加严重。我们在许多重要的应用中展示了这种攻击的后果,包括在线账号劫持、隐私泄露、支付劫持,给用户带来直接的财务损失。最后我们讨论了各种防范或降低这种攻击风险的措施,包括 部署HSTS、修补浏览器,以及我们自己开发的一个浏览器扩展,它实现了Cookie在HTTP和HTTPS传输中更加严格的隔离。
主讲人简介:
段海新,博士,研究员,博士生导师。就职于清华大学网络科学与网络空间研究院,网络和信息安全研究室主任,加州大学伯克利访问学者。长期致力于网络安全相关的教学、科研和运行管理工作。主要研究兴趣:网络基础设施(域名、路由、公钥基础设施等)安全、Web安全、入侵检测和网络测量等。联系方式:
duanhx@tsinghua.edu.cn
, 个人主页:
http://netsec.ccert.edu.cn/duanhx
附件下载:
谁动了我的饼干——Web Cookie的完整性和现实威胁
下午 3:00-4:00
报告地点:计算所 446室
主讲人:段海新 清华大学网络科学与网络空间研究员, 网络和信息安全研究室主任
报告摘要:
Cookie在HTTP协议中用于状态管理,对Web应用非常重要。然而,现有协议和浏览器的实现中,对Cookie的完整性缺乏有效的保护,攻击者通过中间人的方式可以通过明文的HTTP会话注入Cookie,覆盖或屏蔽后续HTTPS加密会话中使用的Cookie。除了中间人方式,Web攻击者还可以通过域名相关的网站实现这种攻击。我们的论文通过深入的实证研究展示这种攻击的原理、危害和现实世界中漏洞存在的普遍性。我们发现世界上许多重要的网站(包括Google, Bank of America, Amazon等)都存在Cookie注入攻击的风险,同时也发现许多主流的浏览器(包括Chrome, Firefox, Safari)的实现上也存在一些漏洞使这一威胁更加严重。我们在许多重要的应用中展示了这种攻击的后果,包括在线账号劫持、隐私泄露、支付劫持,给用户带来直接的财务损失。最后我们讨论了各种防范或降低这种攻击风险的措施,包括 部署HSTS、修补浏览器,以及我们自己开发的一个浏览器扩展,它实现了Cookie在HTTP和HTTPS传输中更加严格的隔离。
主讲人简介:
段海新,博士,研究员,博士生导师。就职于清华大学网络科学与网络空间研究院,网络和信息安全研究室主任,加州大学伯克利访问学者。长期致力于网络安全相关的教学、科研和运行管理工作。主要研究兴趣:网络基础设施(域名、路由、公钥基础设施等)安全、Web安全、入侵检测和网络测量等。联系方式:duanhx@tsinghua.edu.cn, 个人主页:http://netsec.ccert.edu.cn/duanhx