会话 cookie 中的明文数据:哪种漏洞?

信息安全 脆弱性
2021-08-18 10:19:23

我在使用网站时运行 Wireshark,当我注意到一个会话 cookie 以明文形式存储了电子邮件地址、我的名字、我的性别和我在注册过程中设置的出生日期。

在我看来,这是一个漏洞,因为它允许嗅探流量的攻击者检索对管理会话无用的个人数据(为什么他们甚至需要将我的出生日期存储在 cookie 中?)无论如何,不​​应以明文形式发送。

在向网站发送报告之前,我想确定此漏洞的正确术语。我浏览了 CWE 网站 ( http://cwe.mitre.org/ ),我认为这应该是 CWE-315: Cleartext Storage of Sensitive Information in a Cookie 或 CWE - 319: Cleartext 的一个例子敏感信息的传输。

我的两个(严格相关的)问题是:

  1. 上面列出的信息(出生日期、性别、名字、电子邮件地址)是否被视为 CWE 定义意义上的敏感信息?服务器位于欧盟国家,如果有帮助的话;
  2. 如果它们确实是敏感数据,这是 CWE-315、CWE-319 的一个例子,还是两者兼而有之?
1个回答

  1. 是的,此信息应被视为敏感信息,尤其是在汇总时。电子邮件地址始终是 PII,添加出生日期、性别和名字只会使情况更是如此。

  2. 这绝对是 CWE-315 的一个例子。如果cookie 曾经通过 HTTP 传输,也可能是 CWE-319 的一个示例。如果它仅通过 HTTPS 传输,则不是 CWE-319 问题。

我同意无论是否需要 HTTPS,这绝对是您应该报告的问题。这是不可接受的做法,如果 cookie 是持久性 cookie,而不仅仅是内存中的会话 cookie,则更是如此。

其它你可能感兴趣的问题
上一篇LUKS 是否真的完全加密了磁盘上的数据? 下一篇什么是凭证转发攻击?