Domanda:
I cookie possono trasportare virus?
Mero55
2016-06-07 03:56:53 UTC
view on stackexchange narkive permalink

Mi chiedevo se un cookie possa trasportare un virus (o qualsiasi codice che minaccia la sicurezza). In un certo senso è simile a un download, quindi semplicemente visitando un sito, potrei essere danneggiato?

Sebbene un sito Web possa impostare il contenuto del cookie sulla stringa EICAR per un PoC, non mi aspetterei di vederlo in alcun uso pratico a causa della limitazione delle dimensioni dei cookie, delle differenze tra il cookie in transpoprt e archiviazione, ma soprattutto perché non esiste unmodo pratico per saltare per eseguire qualsiasi codice memorizzato in un cookie.
* "[può] un cookie può trasportare [...] qualsiasi codice dannoso" * Sì, in realtà.Alcune persone sono abbastanza ignoranti da inserire il contenuto di un cookie direttamente in un'istruzione SQL senza eseguire l'escape o il binding.Ciò può essere molto negativo per il sito Web vulnerabile.Probabilmente non è quello che vuoi dire però.
Per un po 'ho pensato che fosse un'icona della biologia e ho pensato "sicuramente il processo di cottura avrebbe dovuto uccidere tutti i virus"
Il [file di prova EICAR] (https://en.wikipedia.org/wiki/EICAR_test_file) è un eseguibile MS-DOS (funziona su DOS, così come i sistemi operativi compatibili con eseguibili DOS a 16 bit come OS / 2 e 16- e Windows a 32 bit) composto interamente da caratteri stampabili se visualizzato come ASCII.Quei caratteri potrebbero essere usati come valore del cookie.Questo conta?
@MichaelKjörling: Sarebbe interessante se potessi usarlo per indurre l'AV del cliente a mettere in quarantena più cookie rispetto a quelli del tuo sito.
Il cookie è un virus.Non sai quasi mai cosa è memorizzato lì e cosa abilita sui tuoi sistemi.
@xeon Hai * qualche * esperienza in questo campo?Un cookie è solo una stringa di testo.Non può essere eseguito.
@JamesLu Vero, i cookie sono solo stringhe di testo normale e non possono essere eseguiti.Tuttavia, possono diventare un proxy per una vasta gamma di attività dannose sulla macchina.Il contenuto dei cookie può essere riutilizzato da altre applicazioni che possono eseguire qualsiasi azione.Ci sono esempi di utilizzo dei cookie per l'apertura di porte sul computer in modo tale che i Trojan possano essere installati http://www.bitdefender.com/support/cookie-threats-1.html
@JamesLu In altre parole, i cookie allargano la superficie di attacco.E questo mi riguarda.
@xeon Un browser sicuro crittografa i cookie e poiché l'aggressore ha già accesso al computer non ha bisogno di nessuno di questi vettori di attacco.È facile aprire una nuova scheda tramite uno script (o in termini di computer uno script) e spegnere il computer.Nessuna informazione privata viene memorizzata sui cookie.
Consiglio di utilizzare la regola dei cinque secondi con i cookie.Se sono ancora su un piatto pulito o su un tupperware, dovrebbero andare bene.
Sette risposte:
#1
+91
Anders
2016-06-07 04:18:22 UTC
view on stackexchange narkive permalink

Puoi inserire qualsiasi stringa di testo in un cookie, quindi in teoria potresti inserire un qualche tipo di codice lì. Ma affinché il codice possa fare del male, qualcosa deve eseguirlo. Il browser web non interpreta il contenuto dei cookie come codice e non tenta di eseguirlo, quindi i cookie non dovrebbero essere pericolosi. (Se hai sentito fare riferimento ai cookie nelle discussioni relative alla sicurezza, è probabilmente in relazione alla privacy e non ai virus.)

In teoria potrebbe esserci un bug nel browser che rende possibile creare uno speciale cookie che in qualche modo inganna il browser per eseguirlo, ad es provocando un overflow del buffer. Un bug del genere è abbastanza improbabile in un browser principale e se potessi trovarne uno sarebbe considerato un grosso problema.

Quindi non mi preoccuperei che i cookie mi infettano con un virus. Tuttavia è possibile essere infettati da malware semplicemente visitando un sito Web. Questo si chiama "drive by downloads" ed è oggi un metodo comune per diffondere virus. Il vettore che viene sfruttato per questo generalmente non sono i cookie, ma plug-in come Java o Flash.

Se può essere eseguito con altri mezzi, è altrettanto pericoloso.Non è necessario che ci sia un difetto nel browser.
@OrangeDog Se * un altro significa * può "eseguire" un cookie, ha già accesso al tuo sistema e non ha bisogno del cookie.
@JanDoggen vede la risposta di Overmind per un esempio.
La risposta di @OrangeDog * Overmind * non confuta ciò che ha detto * Jan Doggen *.Un esempio migliore potrebbe essere il commento di * Alexander O'Mara *, che descrive una possibile situazione in cui una persona "eseguirà" i contenuti (possibilmente dannosi) di un cookie (senza che venga installato prima qualche altro malware).
Il punto è che il malware supera le difese poiché ogni parte da sola non è funzionale.
#2
+10
SilverlightFox
2016-06-07 14:05:27 UTC
view on stackexchange narkive permalink

Oltre all ' ottima risposta di Anders, c'era una vulnerabilità in Internet Explorer 5 e 6 che consentiva di impostare un cookie dannoso che poteva quindi leggere o impostare i valori dei cookie di altri siti.

Articolo qui.

Una vulnerabilità di divulgazione di informazioni relativa alla gestione di script all'interno dei cookie che potrebbe consentire a un sito di leggere i cookie di un altro. Un utente malintenzionato potrebbe creare un cookie speciale contenente uno script e quindi costruire una pagina Web che consegnerebbe quel cookie al sistema dell'utente e lo invocerebbe. Potrebbe quindi inviare quella pagina web come posta o pubblicarla su un server. Quando la pagina ha eseguito e ha invocato lo script nel cookie, potrebbe potenzialmente leggere o alterare i cookie di un altro sito. Sfruttare con successo questo, tuttavia, richiederebbe che l'attaccante conosca il nome esatto del cookie memorizzato nel file system per essere letto correttamente.

Sebbene non sia un virus in quanto tale, il tuo browser potrebbe essere "infettato" da questo script in un cookie che l'attaccante potrebbe utilizzare per compromettere il browser. Tuttavia, per quanto riguarda il cookie qui si tratta più del meccanismo utilizzato per l'exploit piuttosto che del browser che viene infettato, perché solo i siti dannosi possono utilizzare il cookie e non verrà invocato quando vengono visitati siti benigni.

#3
+6
Eda190
2016-06-07 04:18:13 UTC
view on stackexchange narkive permalink

I cookie possono trasferire solo valori di TESTO, il che significa che non possono danneggiare il tuo computer stand-alone, ma possono contenere informazioni molto importanti, che possono essere utilizzate contro di te in caso di furto. Leggi informazioni sul dirottamento della sessione e capirai in che modo lo sfruttatore può utilizzarlo in particolare.

Il [file di prova EICAR] (https://en.wikipedia.org/wiki/EICAR_test_file) è un eseguibile MS-DOS (funziona su DOS, così come i sistemi operativi compatibili con eseguibili DOS a 16 bit come OS / 2 e 16- e Windows a 32 bit) composto interamente da caratteri stampabili se visualizzato come ASCII.Certo, non è particolarmente virulento o distruttivo, ma * potrebbe * essere portato come valore del cookie.
Questa risposta ignora la possibilità di un'implementazione difettosa che * si suppone * solo di leggere i dati, eseguendo invece quei dati.Vedi la risposta di Anders o le risposte correlate come [questa] (http://security.stackexchange.com/a/55073/17049) (che riguarda i file di immagine, ma il principio è lo stesso).
"* I cookie possono trasferire solo valori TEXT *";non (completamente) vero. Il testo è solo un mucchio di "byte" * interpretato * come testo.Puoi memorizzare * qualsiasi * valore arbitrario in un cookie (anche 'binario'; è solo incomprensibile se rappresentato come testo).Dovresti solo assicurarti che sia sottoposto a escape (o codificato) correttamente.
#4
+4
licklake
2016-06-07 15:58:15 UTC
view on stackexchange narkive permalink

Teoricamente possono, come Anders ha già detto. Il "problema" è che non verranno eseguiti dal browser. Tuttavia, un altro software / malware sul tuo computer potrebbe. Il che sarebbe particolarmente pericoloso, perché molto probabilmente i programmi antivirus non rileveranno il cookie o il software in esecuzione da soli se eseguiti in file separati.

Non solo un altro computer.Sebbene i cookie siano SUPPOSTI come mero payload di prova, è POSSIBILE (sebbene estremamente improbabile) che un bug in un browser possa essere utilizzato per eseguire un payload trasmesso in un cookie.Quindi, in realtà è possibile.
#5
+3
Overmind
2016-06-07 11:18:17 UTC
view on stackexchange narkive permalink

Il cookie in sé non danneggia, ma può contenere codice utilizzato dagli eseguibili. Una tattica di alcuni virus è quella di memorizzare il cookie con un codice parziale e quel codice verrà alterato da un'applicazione simile a un virus.

Esempio: il cookie memorizza la chiave di decrittazione per un eseguibile che ignora le scansioni iniziali perché è ben crittografato. Quindi il file .exe sta utilizzando la chiave per decrittografare se stesso e tentare di eseguire.

In tale scenario, la chiave di decrittazione non deve provenire da un cookie, ma può provenire da qualsiasi numero o posizione.Può provenire dal corpo della risposta di una richiesta HTTP.Oppure può utilizzare un altro protocollo, anche un pacchetto di richiesta / risposta TCP grezzo.E immagino che questo sia ampiamente utilizzato con malware di tipo C&C
Tale implementazione sarebbe soggetta a errori, poiché i meccanismi di memorizzazione dei cookie cambiano tra i browser e persino le versioni del browser.È molto più facile mettere la chiave nell'eseguibile stesso.
#6
+3
Aaron
2016-06-08 01:47:41 UTC
view on stackexchange narkive permalink

La risposta breve, anche se ingannevole senza la risposta lunga: Sì, un cookie può trasportare un virus. Sì, è possibile contrarre un tale virus semplicemente visitando un sito Web che fornisce il cookie.

Nel paragrafo precedente, sostituire "un cookie" con "qualsiasi file, dato o qualsiasi altra cosa" e sostituire "visitare un sito web" con "possedere" e l'affermazione ancora è vera.

Le domande "Posso prendere un virus da X?" o "Può fare Y mi dà un virus?" sono domande ingenue (ingenue, ma non ignoranti se ti illumini). Questo perché qualsiasi file, qualsiasi dato, qualsiasi azione ha il potenziale per contenere / trasferire / prendere un virus. Proprio niente. Ci sono stati virus che sono stati trasferiti in JPG semplicemente rendendoli visibili sul monitor, e ci sono stati virus trasferiti nei file di collegamento di Windows semplicemente possedendo il collegamento infetto in una cartella che è stata aperta. È anche accaduto in passato che gli utenti di computer abbiano preso virus semplicemente essendo connessi a una rete, senza effettivamente fare nulla per scaricare / visualizzare / interagire con un virus, poiché è possibile che un cracker per ottenere l'accesso al tuo computer senza che tu faccia attivamente nulla.

Questa è la risposta triste e triste (ma vera). Analogia: è come un vero virus: puoi prendere un virus mortale semplicemente stando a una dozzina di piedi (o più, per alcuni di loro) da una persona infetta che espira un virus. Non devi fare davvero nulla per morirne. È un po 'simile con i virus informatici.

Proprio come con la morte perché sei a 6 metri dalla fermata dell'autobus, ricevere un virus sul tuo computer mentre navighi in modo intelligente è così improbabile che non dovresti preoccupartene.

Il tipo di esempi che ho fornito sopra richiede falle di sicurezza criticamente gravi nel software che usi. Finché utilizzi un software affidabile e lo tieni aggiornato, di solito stai bene. Di solito.

Il problema è che generalmente non si conosce una falla di sicurezza nel software. Se le persone lo sapessero, allora (si spera) sarebbe stato risolto presto; questo è uno dei motivi per aggiornare il software. Poiché i buchi non sono noti, nessuno di noi può dire cosa sia o non sia sicuro, dal momento che un cracker può inciampare nel prossimo grande buco di sicurezza e abusarne in qualsiasi momento, e può letteralmente essere ovunque. Diamine, potrebbe trovarsi in un indirizzo di sito Web non valido per quanto ne sanno tutti, e nessuno può ragionevolmente affermare il contrario (anche se sarò il primo a dire che è altamente dubbio).

Ma non lasciare che questo ti trasformi in un eremita spaventato. Preoccuparsi per il prossimo grande buco di sicurezza è come preoccuparsi che la prossima meteora atterri sulla tua testa - ancora una volta, possibile ma non probabile.

Ora, se poniamo una domanda diversa: sono preoccupato per malware; non è sicuro visitare siti Web che mi forniscono cookie se utilizzo un browser moderno e importante che viene mantenuto aggiornato? Quindi la risposta è "No, non è pericoloso e non è probabile che riceva malware. Ci sono problemi di privacy con i cookie, ma non è correlato e non danneggerà il tuo computer. Se sei interessato ai problemi di privacy, Google "privacy cookie del computer" o fai un'altra domanda a riguardo. "

Sì, questa risposta è stata un po 'un rant e non contiene citazioni o informazioni tecniche.Tuttavia, finora non ho visto altre risposte che siano davvero al centro della questione qui.Non mi offendo se qualcuno va a prendere i dettagli e scrive praticamente la stessa risposta, ma meglio di quanto ho fatto io;in effetti penso che sarebbe fantastico.
Penso che i tuoi primi due paragrafi siano molto fuorvianti.I cookie non possono essere considerati come "qualsiasi file"
@MattWilko Penso che ti manchi il punto di quei paragrafi, anche se forse è colpa mia.Il punto è che _qualcosa_ può contenere malware.Qualsiasi file, dato, azione, qualsiasi cosa.Dire il contrario è in realtà ciò che è molto fuorviante, da qui la mia risposta poiché non ho visto nessun altro fare il punto correttamente.Tuttavia, non sono sicuro di cosa intendi per "uguale a qualsiasi file".
#7
-1
Nebula_Consulting LLC
2016-06-07 19:20:48 UTC
view on stackexchange narkive permalink

La questione se i cookie possano o meno essere pericolosi o diffondere virus ha a che fare con il fatto che un file sia o meno "eseguibile". In teoria, se un cookie eseguibile è stato impostato con contenuti dannosi, è possibile che possa colpire il tuo computer con un virus e aprire una proverbiale lattina di worm. Questo è un evento abbastanza raro e che personalmente non ho visto, ma del tutto possibile nelle giuste circostanze.

Potresti espandere i tuoi "cookie eseguibili"?Sono abbastanza interessato.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...