Vés al contingut

Galetes entre llocs

De la Viquipèdia, l'enciclopèdia lliure
galetes entre llocs, l'atacant explota un error de programari d'un navegador per enviar una galeta invàlida a un servidor

Galetes entre llocs (cross-site cooking en anglès), cada lloc ha de tenir les seves pròpies galetes, de manera que un lloc "dolent.net" no tingui la possibilitat de modificar o definir galetes d'un espai com "bo.net". Les vulnerabilitats cross-site cooking dels navegadors permeten a llocs maliciosos trencar aquesta regla general. Aquest fet, és similar al de la falsificació de galetes, però l'atacant s'aprofita d'usuaris benintencionats amb navegadors vulnerables, en lloc d'atacar al lloc web directament. L'objectiu d'aquests atacs pot ser realitzar una fixació de sessió, és a dir, un robatori de sessió en un lloc web.

Galetes entre llocs són un tipus d'Exploit del navegador que permet a l'espai atacant establir una galeta per un navegador dins del domini galeta d'un altre servidor. Poden ser utilitzades per realitzar atacs de fixació de sessió, com un espai perjudicial pot fixar l'identificador de sessió galeta d'algun altre lloc.

Altres escenaris possibles d'atac poden ser: l'atacant ha de saber sobre una vulnerabilitat de seguretat d'un servidor, com per exemple que és explotable fent servir una galeta. Però, si aquesta vulnerabilitat de seguretat requereix, per exemple, una contrasenya d'administrador que l'atacant no coneix, les galetes d'entre llocs poden ser utilitzades per enganyar a usuaris innocents al realitzar l'atac de forma inintencionada.

El concepte de galetes entre llocs, és similar a XSS, XSRF, XST, scripting entre zones, etc., que envolta l'habilitat de moure dades o codis entre diferents espais web (o en alguns casos entre correu electrònic o missatges instantanis). Aquest problemes estan lligats al fet que un navegador web és una plataforma compartida per diferents aplicacions, espais i informacions. Només les fronteres lògiques de seguretat sustentades per navegadors asseguren que un espai no pot corrompre o robar dades d'un altre. Tanmateix, un exploit del navegador com les galetes entre llocs, poden ser utilitzats per moure coses entre les fronteres de la seguretat lògica.

Enllaços externs

[modifica]