HTTP cookie weaknesses, attack methods and defense mechanisms : a systematic literature review

HTTP-eväste on ollut yleisesti käytetty tekniikka maailmanlaajuisissa tietoverkoissa. Useat laajamittaiset tietomurrot ovat osoittaneet, että evästeitä voidaan murtaa useilla erilaisilla hyökkäystyypeillä. On väistämätöntä tunnistaa evästeiden heikkouksia. ICT-alan tutkijat ovat osoittaneet lukuisia evästeiden haavoittuvuuksia ja heikkouksia. Eväste-protokolla on perustunut yli kaksi vuosikymmentä sitten laadittuun luonnokseen. Tässä tutkimuksessa tutkittiin systemaattisen kirjallisuuskatsauksen metodein evästeiden heikkouksia, heikkouksia hyödyntäviä hyökkäysmetodeja ja puolustusmekanismeja hyökkäyksien ehkäisemiseksi. Tutkimuksessa analysoitiin evästeiden määrittelyä, hyökkäysmetodeja ja puolustusmekanismeja tutkivaa kirjallisuutta. Käytetty kirjallisuus arvioitiin tutkimusmenetelmän metodien mukaisesti. Kirjallisuuteen perustuen tutkimus osoitti evästeiden ja siirtoprotokollien heikkouksia ja haavoittuvuuksia, joita hyökkäyksissä voidaan käyttää hyväksi. Tuloksissa havaittiin puutteita evästeiden eheydessä. Evästeiden luottamuksellisuus todettiin heikoksi. Tulokset osoittivat, että eväste-protokolla tulisi päivittää uudelle turvallisuustasolle. Tutkimus osoitti, että nykyisessä muodossaan evästeet altistuvat hyökkäyksille, joissa evästeitä kaapataan ja manipuloidaan. Lisäksi tulokset osoittivat, että evästeet altistuvat XSS ja CSRF -tyyppisille hyökkäksille. Useita puolustusmekanismeja tulisi asettaa evästeisiin hyökkäysten ehkäisemiksi.