2. 您的位置
3. 首页
4. 会议论文
5. 谁动了我的饼干(Cookie)?--Web应用中Cookie完整性问题及威胁

谁动了我的饼干(Cookie)?--Web应用中Cookie完整性问题及威胁

来源 :2015年中国互联网安全大会 | 被引量 : 0次 | 上传用户：aq13

【摘 要】

：

SSL/TLS是网络安全通信的基石,其在密码学和系统实现上都异常复杂,但其实无论是其协议本身、加密组件实现还是应用部署,都可能存在着隐患和漏洞,近年来的相关安全事件和研究也表明了这一点.在研究SSL/TLS安全问题的时候,就发现容易被忽视的Cookie存在着完整性问题,会导致Cookie注入攻击,严重威胁着SSL/TLS的安全,存在问题的浏览器包括IE、Chrome、Firefox、Safari等

【作 者】

：

郑晓峰 江健 梁锦津 陈福清 段海新 

【机 构】

：

清华大学网络与信息安全实验室

【出 处】

：

2015年中国互联网安全大会

【发表日期】

：

2015年11期

【关键词】

：

计算机网络 应用程序 Cookie完整性 安全威胁 

下载到本地 , 更方便阅读

下载此文 赞助VIP

声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架

论文部分内容阅读

SSL/TLS是网络安全通信的基石,其在密码学和系统实现上都异常复杂,但其实无论是其协议本身、加密组件实现还是应用部署,都可能存在着隐患和漏洞,近年来的相关安全事件和研究也表明了这一点.在研究SSL/TLS安全问题的时候,就发现容易被忽视的Cookie存在着完整性问题,会导致Cookie注入攻击,严重威胁着SSL/TLS的安全,存在问题的浏览器包括IE、Chrome、Firefox、Safari等,影响了包括Google、Bank of America、Amazon等在内的世界上许多的重要网站,本文介绍了这种攻击的原理、场景和危害,并提出了建议措施.

其他文献

气井涡流工具排液效果及结构参数优化实验研究

针对目前涡流工具排水采气工艺设计理论缺乏,现场应用与分析主要依据经验,影响应用效果等问题,基于相似理论,建立了气井生产模拟实验装置,实验研究了涡流工具的排液效果,分析了不同结构参数对排液效果的影响.结果表明,气井井筒加装涡流工具后能够有效提高气井的排液能力,相同气量下平均提高携液量23.2％,降低临界携液流速20.3％;槽深越小,排液效果越好;槽宽为48mm时,携液量较高,临界携液流速较低,排液效

会议

气藏开采涡流工具结构优化携液量排液能力

潞安矿区煤层顶板压裂工艺探讨

随着煤层气开发区域不断扩大,潞安矿区处于开发初期.矿区内地质条件复杂,局部区域构造褶曲发育,构造煤发育,煤体结构破碎,煤质较软;储层改造工艺主要采取活性水加砂压裂对煤层进行改造;目前部分井气量上升较慢,排采达产周期长,制约本区煤层气的规模开发.分析认为产气量提升慢,主要是由于储层改造工艺单一,针对于构造煤、软煤发育的储层,常规压裂工艺适应性较差.本文提出了储层改造对象由煤层转向围岩顶板,优化了射孔

会议

煤层气开发顶板压裂参数优化产气效果

薄层致密砂岩气藏水平井开发关键技术及应用

苏里格气田盒8段气层薄、储层致密、非均质性强,直井产量低,为提高单井产量,开展水平井开发试验,形成了薄层致密砂岩气藏水平井部署、设计、地质导向、快速钻井和压裂改造等关键技术.关键技术的应用,成功指导研究区井位部署,优化了井眼轨迹,提高了单井产量.2014年完钻水平井59口,平均水平段长度1211m,平均有效储层钻遇率60.2％,平均无阻流量48.7万方/天,是直井的3.6倍,开发效果良好.

会议

气藏开发水平井井眼轨迹单井产量

新形势下气田水处理风险控制探讨

随着气田逐渐进入开采后期,多数气田相继出水,气田水处理问题已成为影响气田生产的主要矛盾之一.目前西南油气田公司产出气田水全部采用回注方式进行处理.随着国家新环保法的出台,对气田水的处理方式要求日渐严格,为保证西南油气田分公司的气田水处理符合国家各项法律、标准的要求,本文通过对国内外各项法律法规、技术标准以及目前水处理的现状展开调研,对西南油气田公司气田水处理现状与存在问题进行分析,归纳了当前气田水

会议

气田开采水处理回注方式风险控制

致密砂岩气藏混合水压裂技术研究及应用

川西部分致密砂岩储层采用常规改造工艺很难获得理想效果,且改造后稳产能力差.本文针对该类储层,在裂缝破裂机理研究的基础上,通过室内物模实验,并采用数值模拟进行验证,结果表明混合水压裂工艺可在增加改造体积的同时,在支撑裂缝内部形成纵横向交错的高导流能力立体通道,明确了其适应性;同时,结合室内实验及数值模拟结果,优化了混合水压裂工艺的注入方式、注入级数及液体比例等参数,形成了具有针对性的混合水压裂工艺;

会议

致密砂岩气藏混合水压裂工艺参数优化单井产量

电子取证中的热点难点问题

电子取证是指科学地运用提取和证明方法,对于从电子数据源提取的电子证据进行保护(preservation)、收集(collection)、验证(validation)、鉴定(identification)、分析(analysis)、解释(interpetation)、存档(documentation)和出示(presentation),以有助于进一步重构犯罪事件或者帮助识别某些与计划操作无关的非授权

会议

诉讼法电子取证司法鉴定信息安全

你的银行卡安全吗?揭秘“伪卡盗刷”犯罪

持卡人要增强法律意识，注意获取被盗刷的证据材料。在发现银行卡被盗刷后，有三个“尽快”:应当尽快致电发卡行客服，核实是否发生了账户异常变动的情形，确认发生后立即办理临时挂失;应当尽快到最近的发卡行服务网点ATM机或银行营业场所办理用卡交易，如查询、取款等，证明人卡未分离;尽快到当地派出所报案，向办案人员出示银行卡原卡，取得报案回执或受案通知书等文件。

会议

银行卡犯罪作案手法安全防范法律意识

浏览器漏洞攻防对抗的艺术

浏览器是用户进入互联网的第一道门槛,更是网络攻防对抗的桥头堡.本议题依据作者针对最近5～8年在浏览器方面爆发的各种漏洞,就网络攻击者和防御者在攻防技术方面,给大家一一总结和演示.操作系统厂商、软件厂商、软件安全爱好者、黑客军火商在以浏览器为名的网络战争中各自扮演着举足轻重的角色.道高一尺抑或魔高一丈,希望通过本次议题能给大家一点启发.

会议

浏览器安全漏洞网络攻击防御体系

Android平台磁盘数据安全现状分析

近年来,随着移动互联网的快速发展,移动智能终端已经深入到人们生活的方方面面,这些智能设备承载了越来越多的和用户隐私紧密相关的数据.此外,一些应用程序也会将和业务相关的重要数据保存在移动终端本地.这些数据一旦发生泄漏,会对用户的隐私安全和企业的业务安全造成不可估量的损失.

会议

Android平台磁盘数据用户隐私安全管理

浅谈软件漏洞分析基础设施的构建

随着信息技术的不断发展,软件漏洞从内涵到外延都一直在发生着变化.漏洞至今为止仍有4个基本问题没有搞清楚:准确的定义、严格的分类、消除的方法、基础的理论.随着SDX(软件定义一切)等概念的衍生与流行、国产自主可控的必然要求,加强软件漏洞的研究、构建其分析基础设施,是一个极有意义与价值的事情.

会议

软件检测安全漏洞威胁模型基础设施