Куки — это текстовые файлы, хранящиеся на устройствах пользователей. Они содержат небольшие фрагменты данных, например, идентификатор сессии. С их помощью сайты запоминают информацию о пользователях.
Сегодня украденные куки зачастую дают больше возможностей для хакеров, чем логин и пароль. Например, компрометация сессионного куки позволяет злоумышленнику войти в почту, CRM и облачные хранилища без пароля и дополнительной верификации.
🔒 При неправильной настройке куки также могут стать объектом атак злоумышленников, поэтому важно обеспечить их безопасность.
Инженер по безопасности приложений Swordfish Security Оксана Сурвилло рассказала, какие данные можно и нельзя хранить в куки и как защитить их с помощью флагов Secure, HttpOnly, Domain, Path и SameSite.
🔼Также в видео эксперт показывает реальный сценарий эксплуатации уязвимости в куки, в результате которой злоумышленник может получить доступ к аккаунту администратора сайта.
Сегодня украденные куки зачастую дают больше возможностей для хакеров, чем логин и пароль. Например, компрометация сессионного куки позволяет злоумышленнику войти в почту, CRM и облачные хранилища без пароля и дополнительной верификации.
🔒 При неправильной настройке куки также могут стать объектом атак злоумышленников, поэтому важно обеспечить их безопасность.
Инженер по безопасности приложений Swordfish Security Оксана Сурвилло рассказала, какие данные можно и нельзя хранить в куки и как защитить их с помощью флагов Secure, HttpOnly, Domain, Path и SameSite.
🔼Также в видео эксперт показывает реальный сценарий эксплуатации уязвимости в куки, в результате которой злоумышленник может получить доступ к аккаунту администратора сайта.