Was ist Cookie-Poisoning?

Cookie-Poisoning – auch als Session-Hijacking bekannt – ist eine Angriffsstrategie, bei der der Angreifer ein ansonsten gültiges, an einen Server zurückgesendetes Cookie verändert, fälscht, kapert oder anderweitig „vergiftet“, um Daten zu stehlen, Sicherheitsmaßnahmen zu umgehen oder beides.

In der Computertechnik handelt es sich bei einem Cookie um Daten, die für eine Website und eine Benutzersitzung spezifisch sind und Interessen- oder Identitätsinformationen über den Benutzer enthalten, die erstellt und im Browser des Benutzers gespeichert werden. Websites und Server können Cookies verwenden, um Nutzungstrends zu verfolgen, etwa welche Seiten der Website am meisten Verkehr aufweisen, und um das Benutzererlebnis anzupassen und zu optimieren, sei es durch die Priorisierung von Inhalten, die auf früheren Besuchen des Benutzers basieren, die Verfolgung von Artikeln in einem Online-Einkaufswagen oder das automatische Ausfüllen persönlicher Informationen.

Angreifer können Cookies abfangen, bevor sie zum Server zurückkehren, um Informationen daraus zu extrahieren oder sie zu ändern. Es können auch von Grund auf gefälschte Cookies erstellt werden, um sich als Benutzer auszugeben und auf zusätzliche Benutzerdaten zuzugreifen.  Der Begriff „Cookie-Poisoning“ ist daher irreführend, da er häufig nicht nur für veränderte („vergiftete“) Cookies verwendet wird, sondern für eine Vielzahl von Methoden zum Diebstahl von Daten aus gültigen Cookies oder für deren sonstige böswillige Verwendung.

Cookies werden häufig zur Authentifizierung und zur Verfolgung verwendet, ob ein Benutzer bei einem Konto angemeldet ist. Das bedeutet, dass sie Informationen enthalten, die für einen unbefugten Zugriff verwendet werden können. Sie können auch andere vertrauliche Daten enthalten, darunter Finanzinformationen, die von einem Benutzer eingegeben wurden. Für Angreifer ist Cookie-Poisoning relativ einfach: Sie können ein manipuliertes Cookie verwenden, um Benutzeridentitäten zu betrügerischen Zwecken zu stehlen oder sich unbefugten Zugriff auf den Webserver zu verschaffen und so weitere Angriffe auszunutzen.

Cookies (oder andere Sitzungstoken), die nicht sicher generiert oder übertragen werden, sind anfällig für Hijacking oder Poisoning. Cross-Site-Scripting (XSS) ist eine gängige Methode zum Stehlen von Cookies. Es gibt jedoch auch zahlreiche andere Methoden, darunter Packet Sniffing und Brute-Force, die zum unbefugten Zugriff auf Cookies genutzt werden können. Und da „Cookie-Poisoning“ ein Sammelbegriff für zahlreiche bösartige Aktivitäten im Zusammenhang mit Cookies ist, lässt sich ein Cookie-Poisoning-Exploit unter anderem auch treffend als Man-In-The-Middle-Angriff, Session-Hijacking, Manipulation oder Fälschung beschreiben. 

Eine durchdachte App-Entwicklung kann zwar die Anzahl der in Cookies gespeicherten sensiblen Daten begrenzen oder es Angreifern erschweren, diese abzugreifen, doch der Zweck eines Cookies besteht darin, Benutzer, Verhaltensweisen oder beides zu identifizieren. Das bedeutet, dass sie von Anwendungen weiterhin verwendet werden. Eine entsprechende Sicherheit für Web-Anwendungen und ein entsprechendes Sitzungsmanagement, das beispielsweise durch eine Web Application Firewall (WAF) bereitgestellt werden kann, können zum Schutz identifizierender Daten und zur Abwehr von Cookie-Poisoning beitragen.

Das F5 Advanced WAF nutzt Vollproxy-Datenprüfung, Verhaltensanalyse und maschinelles Lernen, um ein hohes Maß an Anwendungssicherheit bereitzustellen, einschließlich ausgefeilter Sitzungsverwaltung und SSL/TLS- Cookie-Verschlüsselung. Durch das Abfangen des gesamten Datenverkehrs zum und vom Webserver kann dieser Datenverkehr entschlüsselt und mit den vom Server gesendeten Informationen verglichen werden, um zu verhindern, dass veränderte Cookies den Server oder eine Anwendung erreichen.