新闻链接:1beK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3y4K6V1&6x3K6c8Q4x3X3g2Z5N6r3#2D9
新闻时间:9月26日
新闻正文:
近期，一个存在于主要浏览器的Web cookie中的严重漏洞被发现，它使安全的浏览方式（HTTPS）容易遭受中间人攻击。此外，大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞，包括：谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。
在8月份华盛顿举办的第24届USENIX安全研讨会上，该问题首次被披露。当时，研究人员xiaofeng zheng展示了他们的论文，文中提到大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞，包括：谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。此外，受影响的主流Web浏览器包括以下浏览器的早期版本：

1、苹果的Safari
2、Mozilla的Firefox
3、谷歌的Chrome
4、微软的IE浏览器
5、微软的Edge
6、Opera
然而，好消息是，这些供应商现在已经解决了这个问题。所以，如果你想保护自己免受这种Cookie注入、中间人攻击向量，那么就将这些浏览器升级到最新版本。

CERT和研究人员xiaofeng zheng还建议站长在他们的顶级域名商部署HSTS（HTTP Strict Transport Security）。

来自FreeBuf黑客与极客（FreeBuf.com）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课