Question:
Les cookies peuvent-ils véhiculer des virus?
Mero55
2016-06-07 03:56:53 UTC
view on stackexchange narkive permalink

Je me demandais si un cookie peut transporter un virus (ou un code menaçant la sécurité). Dans un certain sens, cela ressemble à un téléchargement, alors en visitant simplement un site, pourrais-je être blessé?

Bien qu'un site Web puisse définir le contenu du cookie sur la chaîne EICAR pour un PoC, je ne m'attendrais pas à le voir dans une utilisation pratique en raison de la restriction de taille du cookie, des différences entre le cookie dans transpoprt et le stockage, mais principalement parce qu'il n'y a pas demoyen pratique de sauter pour exécuter tout code stocké dans un cookie.
* "[peut] un cookie peut [...] transporter n'importe quel code nuisible" * Oui en fait.Certaines personnes sont suffisamment ignorantes pour déposer le contenu d'un cookie directement dans une instruction SQL sans échappement ni liaison.Cela peut être très mauvais pour le site Web vulnérable.Probablement pas ce que tu veux dire.
Pendant un moment, j'ai pensé que c'était une icône de la biologie, et j'ai pensé que "sûrement le processus de cuisson aurait dû tuer tous les virus"
Le [fichier de test EICAR] (https://en.wikipedia.org/wiki/EICAR_test_file) est un exécutable MS-DOS (fonctionne sous DOS, ainsi que les systèmes d'exploitation compatibles avec les exécutables DOS 16 bits tels que OS / 2 et 16- et Windows 32 bits) composé entièrement de caractères imprimables lorsqu'ils sont visualisés au format ASCII.Ces caractères peuvent être utilisés comme valeur de cookie.Cela compte-t-il?
@MichaelKjörling: ce serait intéressant si vous pouviez l'utiliser pour inciter l'AV du client à mettre en quarantaine plus de cookies que ceux de votre site.
Le cookie est un virus.Vous ne savez presque jamais ce qui y est stocké et ce qu'il active sur vos systèmes.
@xeon Avez-vous * une * expérience dans ce domaine?Un cookie n'est qu'une chaîne de texte.Il ne peut pas être exécuté.
@JamesLu Vrai, les cookies ne sont que des chaînes de texte brut et ne peuvent pas être exécutés.Cependant, ils peuvent devenir un proxy pour un large éventail d'activités malveillantes sur la machine.Le contenu des cookies peut être réutilisé par d'autres applications qui peuvent entreprendre n'importe quelle action.Il existe des exemples d'utilisation de cookies pour ouvrir des ports sur l'ordinateur afin que les chevaux de Troie puissent être installés http://www.bitdefender.com/support/cookie-threats-1.html
@JamesLu En d'autres termes, les cookies élargissent la surface d'attaque.Et cela me préoccupe.
@xeon Un navigateur sécurisé crypterait les cookies et comme l'attaquant a déjà accès à l'ordinateur, il n'a besoin d'aucun de ces vecteurs d'attaque.Il est facile d'ouvrir un nouvel onglet via un script (ou en termes informatiques un script) et d'arrêter l'ordinateur.Aucune information privée n'est stockée sur les cookies.
Je recommande d'utiliser la règle des cinq secondes avec les cookies.S'ils sont toujours sur une assiette propre ou un tupperware, ils devraient être en bon état.
Sept réponses:
#1
+91
Anders
2016-06-07 04:18:22 UTC
view on stackexchange narkive permalink

Vous pouvez mettre n'importe quelle chaîne de texte dans un cookie, donc en théorie vous pouvez y mettre une sorte de code. Mais pour que le code fasse du mal, quelque chose doit l'exécuter. Le navigateur Web n'interprète pas le contenu des cookies comme du code et n'essaie pas de l'exécuter, les cookies ne doivent donc pas être dangereux. (Si vous avez entendu des cookies référencés dans des discussions liées à la sécurité, c'est probablement lié à la confidentialité et non à des virus.)

En théorie, il pourrait y avoir un bogue dans le navigateur qui permet de créer un cookie qui trompe en quelque sorte le navigateur pour l'exécuter, par exemple en provoquant un débordement de tampon. Un tel bogue est assez improbable dans un navigateur majeur, et si vous pouviez en trouver un, ce serait considéré comme un gros problème.

Je ne craindrais donc pas que les cookies m'infectent avec un virus. Cependant, il est possible d'être infecté par des logiciels malveillants en visitant simplement un site Web. C'est ce qu'on appelle "conduire par téléchargements" et c'est aujourd'hui une méthode courante pour propager des virus. Le vecteur exploité pour cela n'est généralement pas des cookies, mais des plugins comme Java ou Flash.

S'il peut être exécuté par d'autres moyens, c'est tout aussi dangereux.Il n'est pas nécessaire qu'il y ait une faille dans le navigateur.
@OrangeDog Si * un autre moyen * peut «exécuter» un cookie, il a déjà accès à votre système et n'a pas besoin du cookie.
@JanDoggen voir la réponse d'Overmind pour un exemple.
La réponse de @OrangeDog * Overmind * ne réfute cependant pas ce que * Jan Doggen * a dit.Un meilleur exemple serait le commentaire de * Alexander O'Mara *, qui décrit une situation possible où une personne «exécuterait» elle-même le contenu (éventuellement malveillant) d'un cookie (sans qu'un autre malware ne soit installé au préalable).
Le fait est que le malware se faufile au-delà des défenses, chaque partie étant à elle seule non fonctionnelle.
#2
+10
SilverlightFox
2016-06-07 14:05:27 UTC
view on stackexchange narkive permalink

En plus de l ' excellente réponse d'Anders, il y avait une vulnérabilité dans Internet Explorer 5 et 6 qui permettait de définir un cookie malveillant qui pouvait ensuite lire ou définir les valeurs de cookie d'autres sites.

Article ici.

Une vulnérabilité de divulgation d'informations liée à la manipulation de script dans les cookies qui pourrait permettre à un site de lire les cookies d'un autre. Un attaquant pourrait créer un cookie spécial contenant un script, puis construire une page Web qui livrerait ce cookie au système de l'utilisateur et l'invoquerait. Il pourrait ensuite envoyer cette page Web par courrier électronique ou la publier sur un serveur. Lorsque la page s'exécutait et invoquait le script dans le cookie, elle pouvait potentiellement lire ou modifier les cookies d'un autre site. Cependant, pour réussir à l'exploiter, il faudrait que l'attaquant connaisse le nom exact du cookie tel qu'il est stocké sur le système de fichiers pour être lu avec succès.

Bien qu'il ne s'agisse pas d'un virus en tant que tel, votre navigateur pourrait être "infecté" par ce script dans un cookie que l'attaquant pourrait alors utiliser pour compromettre votre navigateur. Cependant, en ce qui concerne le cookie, il s'agit plus du mécanisme utilisé pour l'exploit que du navigateur infecté, car seuls les sites malveillants peuvent utiliser le cookie et il ne sera pas invoqué lorsque des sites bénins sont visités.

#3
+6
Eda190
2016-06-07 04:18:13 UTC
view on stackexchange narkive permalink

Les cookies ne peuvent transférer que des valeurs TEXT, ce qui signifie qu'ils ne peuvent pas endommager votre ordinateur autonome, mais ils peuvent contenir des informations très importantes, qui peuvent être utilisées contre vous en cas de vol. Renseignez-vous sur le piratage de session, et vous comprendrez à quoi l'exploiteur peut spécifiquement l'utiliser.

Le [fichier de test EICAR] (https://en.wikipedia.org/wiki/EICAR_test_file) est un exécutable MS-DOS (fonctionne sous DOS, ainsi que les systèmes d'exploitation compatibles avec les exécutables DOS 16 bits tels que OS / 2 et 16- et Windows 32 bits) constitué entièrement de caractères imprimables lorsqu'ils sont visualisés en ASCII.Certes, ce n'est pas particulièrement virulent ou destructeur, mais il * pourrait * être transporté comme une valeur de cookie.
Cette réponse ignore la possibilité d'une implémentation défectueuse qui est seulement * supposée * lire des données, exécutant ces données à la place.Voir la réponse d'Anders ou des réponses connexes comme [ceci] (http://security.stackexchange.com/a/55073/17049) (qui concerne les fichiers image, mais le principe est le même).
"* Les cookies ne peuvent transférer que les valeurs TEXT *";not (entièrement) vrai. Le texte est juste un tas d '"octets" * interprétés * comme du texte.Vous pouvez stocker * toute * valeur arbitraire dans un cookie ('binaire' aussi; c'est juste du charabia lorsqu'il est représenté sous forme de texte).Il vous suffit de vous assurer qu'il est correctement échappé (ou encodé).
#4
+4
licklake
2016-06-07 15:58:15 UTC
view on stackexchange narkive permalink

Théoriquement, ils le peuvent, comme Anders l'a déjà mentionné. Le "problème" est qu'ils ne seront pas exécutés par le navigateur. Cependant, un autre logiciel / malware sur votre ordinateur pourrait. Ce qui serait particulièrement dangereux, car les programmes antivirus ne détecteront probablement pas le cookie ou le logiciel en cours d'exécution d'eux-mêmes lorsqu'ils sont exécutés dans des fichiers séparés.

Pas seulement un autre ordinateur.Bien que les cookies soient supposés être une simple charge utile de test, il est POSSIBLE (bien qu'extrêmement improbable) qu'un bogue dans un navigateur puisse être utilisé pour exécuter une charge utile transmise dans un cookie.Donc, c'est possible.
#5
+3
Overmind
2016-06-07 11:18:17 UTC
view on stackexchange narkive permalink

Le cookie lui-même n'endommage pas, mais il peut contenir du code utilisé par les exécutables. Une tactique de certains virus consiste à stocker le cookie avec un code partiel et ce code sera modifié par une application de type virus.

Exemple: le cookie stocke la clé de décryptage d'un exécutable qui contourne les analyses initiales car il est bien chiffré. Ensuite, le .exe utilise la clé pour se déchiffrer et tenter de s'exécuter.

Dans un tel scénario, la clé de déchiffrement n'a pas besoin de provenir d'un cookie, mais peut provenir de n'importe quel nombre ou endroits.Il peut provenir du corps de la réponse d'une requête HTTP.Ou il peut utiliser un autre protocole, même un paquet de demande / réponse TCP brut.Et je suppose que cela est largement utilisé avec les logiciels malveillants de type C&C
Cette mise en œuvre serait sujette aux erreurs, car les mécanismes de stockage des cookies changent entre les navigateurs et même les versions de navigateur.Il est tellement plus facile de mettre la clé dans l'exécutable lui-même.
#6
+3
Aaron
2016-06-08 01:47:41 UTC
view on stackexchange narkive permalink

La réponse courte, bien que trompeuse sans la réponse longue: oui, un cookie peut transporter un virus. Oui, il est possible d'attraper un tel virus en visitant simplement un site Web fournissant le cookie.

Dans le paragraphe ci-dessus, remplacez "un cookie" par "n'importe quel fichier, données ou autre chose" et remplacez "visiter un site Web" avec "posséder", et l'affirmation toujours est vraie.

Les questions "Puis-je attraper un virus de X?" ou "Est-ce que Y faire peut me donner un virus?" sont des questions naïves (naïves, mais pas ignorantes si vous vous éclairez). En effet, tout fichier, toute donnée, toute action a le potentiel de contenir / transférer / attraper un virus. Rien du tout. Il y a eu des virus qui ont été transférés dans les JPG simplement en les faisant être visibles sur votre moniteur, et il y a eu des virus transférés dans les fichiers de raccourcis Windows simplement en possédant le raccourci infecté dans un dossier qui a été ouvert. Il est également arrivé dans le passé que les utilisateurs d'ordinateurs aient attrapé des virus simplement en étant connectés à un réseau, sans réellement rien faire pour télécharger / afficher / interagir avec un virus, car il est possible pour un pirate pour accéder à votre ordinateur sans que vous fassiez quoi que ce soit.

C'est la réponse à la tristesse (mais vraie). Analogie: C'est comme un vrai virus - vous pouvez attraper un virus mortel simplement en vous tenant à une douzaine de mètres (ou plus, pour certains d'entre eux) d'une personne infectée expirant un virus. Vous n'avez rien à faire pour en mourir. C'est un peu la même chose avec les virus informatiques.

Tout comme pour mourir parce que vous êtes à 20 pieds de l'arrêt de bus, il est si improbable d'attraper un virus sur votre ordinateur en surfant intelligemment que vous ne devriez pas vous en soucier.

Le genre d'exemples que j'ai donnés ci-dessus nécessite des failles de sécurité extrêmement graves dans le logiciel que vous utilisez. Tant que vous utilisez un logiciel de confiance et que vous le tenez à jour, tout va bien. Habituellement.

Le problème est qu'une faille de sécurité dans le logiciel n'est généralement pas connue. Si les gens étaient au courant, alors il serait (espérons-le) réparé bientôt; c'est l'une des raisons de mettre à jour votre logiciel. Puisque les trous ne sont pas connus, aucun de nous ne peut dire ce qui est sûr ou non, car un pirate peut tomber sur le prochain grand trou de sécurité et en abuser à tout moment, et il peut littéralement être n'importe où. Heck, il pourrait s'agir d'une adresse de site Web mal formée pour tout le monde, et personne ne peut raisonnablement prétendre le contraire (même si je serai le premier à dire que c'est très douteux).

Mais ne laissez pas cela vous tourner dans un ermite effrayé. S'inquiéter de la prochaine grande faille de sécurité, c'est comme s'inquiéter que le prochain météore va atterrir sur votre tête - encore une fois, possible mais peu probable.

Maintenant, si nous posons une autre question: malware; est-il dangereux de visiter des sites Web qui me fournissent des cookies si j'utilise un navigateur majeur et moderne qui est tenu à jour? Ensuite, la réponse est "Non, ce n'est pas dangereux et vous ne risquez pas d'être infecté par des logiciels malveillants. Les cookies posent des problèmes de confidentialité, mais ce n'est pas lié et n'endommagera pas votre ordinateur. Si vous êtes intéressé par les problèmes de confidentialité, Google "Confidentialité des cookies informatiques" ou poser une autre question à ce sujet. "

Oui, cette réponse était un peu une diatribe et ne contient aucune citation ou information technique.Cependant, je n'ai pas vu jusqu'ici d'autres réponses qui soient vraiment au cœur du problème ici.Je ne serai pas offensé si quelqu'un va chercher les détails et rédige essentiellement la même réponse, mais mieux que ce que j'ai fait;en fait, je pense que ce serait génial.
Je pense que vos deux premiers paragraphes sont très trompeurs.Les cookies ne peuvent pas être considérés comme "n'importe quel fichier"
@MattWilko Je pense que vous manquez le point de ces paragraphes alors - même si c'est peut-être ma faute.Le fait est que tout ce qui peut contenir des logiciels malveillants.N'importe quel fichier, donnée, action, n'importe quoi.Dire le contraire est en fait ce qui est très trompeur, d'où ma réponse puisque je n'ai vu personne d'autre faire le point correctement.Pourtant, je ne suis pas sûr de ce que vous entendez par «le même que n'importe quel fichier».
#7
-1
Nebula_Consulting LLC
2016-06-07 19:20:48 UTC
view on stackexchange narkive permalink

La question de savoir si les cookies peuvent être dangereux ou propager des virus a à voir avec si un fichier est ou non un "exécutable". En théorie, si un cookie exécutable a été défini avec un contenu malveillant, il est possible qu'il puisse affecter votre ordinateur avec un virus et ouvrir une boîte proverbiale de vers. C'est un événement assez rare et que je n'ai personnellement pas vu - mais tout à fait possible dans les bonnes circonstances.

Pourriez-vous développer vos "cookies exécutables"?Je suis assez intéressé.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...