O envenenamento de cookies, também conhecido como sequestro de sessão, é uma estratégia de ataque na qual o invasor altera, falsifica, sequestra ou “envenena” um cookie válido enviado de volta a um servidor para roubar dados, ignorar a segurança ou ambos.
Na computação, um cookie são dados específicos para um site e sessão de usuário, incluindo informações de interesse ou identidade sobre o usuário, que são criados e armazenados no navegador do usuário. Sites e servidores podem usar cookies para rastrear tendências de uso, como quais páginas do site recebem mais tráfego, bem como para personalizar e agilizar a experiência do usuário, seja priorizando conteúdo alinhado com as visitas anteriores do usuário, rastreando itens em um carrinho de compras on-line ou preenchimento automático de informações pessoais.
Os invasores podem interceptar cookies antes que eles retornem ao servidor para extrair informações ou modificá-los. Os cookies falsificados também podem ser criados do zero como um meio de personificar um usuário para acessar dados adicionais do usuário. Envenenamento de cookies é, portanto, um nome impróprio, pois muitas vezes é usado para se referir não apenas a cookies modificados (“envenenados”), mas a uma variedade de métodos para roubar dados de cookies válidos ou outro uso malicioso deles.
Os cookies são frequentemente usados para autenticação e para rastrear se um usuário está conectado a uma conta, ou seja, eles contêm informações que podem ser usadas para acesso não autorizado. Eles também podem conter outros dados confidenciais, incluindo informações financeiras, inseridos por um usuário. O envenenamento de cookies é relativamente fácil para os invasores, que podem usar um cookie envenenado para roubar identidades de usuários para fins de fraude ou para obter acesso não autorizado ao servidor Web para futuras explorações.
Cookies (ou outros tokens de sessão) não gerados ou transmitidos com segurança são vulneráveis a sequestro ou envenenamento. Cross-site scripting (XSS) é uma forma comum de roubar cookies, mas vários métodos, incluindo detecção de pacotes e força bruta, podem ser usados para obter acesso não autorizado aos cookies. E como o envenenamento de cookies é um termo geral para inúmeras atividades mal-intencionadas que envolvem cookies, uma exploração de envenenamento de cookies também pode ser descrita com precisão como um ataque man-in-the-middle ou sequestro de sessão, fixação ou falsificação, entre outros termos.
Embora o desenvolvimento cuidadoso de aplicações possa limitar os dados confidenciais armazenados em cookies ou dificultar a extração pelos invasores, o objetivo de um cookie é identificar usuários, comportamentos ou ambos. Isso significa que as aplicações continuarão usando-os. A segurança de aplicações Web apropriada e o gerenciamento de sessão, que podem ser fornecidos por um firewall de aplicação Web (WAF), podem ajudar a proteger os dados de identificação e evitar o envenenamento de cookies.
O F5 Advanced WAF usa inspeção de dados de proxy completo, análise de comportamento e aprendizado de máquina para fornecer segurança de aplicação de alto nível, incluindo gerenciamento de sessão sofisticado e criptografia de cookies SSL/TLS. Ao interceptar todo o tráfego de e para o servidor Web, ele pode descriptografar esse tráfego e compará-lo com as informações enviadas pelo servidor para evitar que cookies alterados cheguem ao servidor ou aplicação.