HTTP cookie weaknesses, attack methods and defense mechanisms : a systematic literature review
Authors
Date
2018Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
HTTP-eväste on ollut yleisesti käytetty tekniikka maailmanlaajuisissa tietoverkoissa. Useat laajamittaiset tietomurrot ovat osoittaneet, että evästeitä voidaan murtaa useilla erilaisilla hyökkäystyypeillä. On väistämätöntä tunnistaa evästeiden heikkouksia. ICT-alan tutkijat ovat osoittaneet lukuisia evästeiden haavoittuvuuksia ja heikkouksia. Eväste-protokolla on perustunut yli kaksi vuosikymmentä sitten laadittuun luonnokseen. Tässä tutkimuksessa tutkittiin systemaattisen kirjallisuuskatsauksen metodein evästeiden heikkouksia, heikkouksia hyödyntäviä hyökkäysmetodeja ja puolustusmekanismeja hyökkäyksien ehkäisemiseksi. Tutkimuksessa analysoitiin evästeiden määrittelyä, hyökkäysmetodeja ja puolustusmekanismeja tutkivaa kirjallisuutta. Käytetty kirjallisuus arvioitiin tutkimusmenetelmän metodien mukaisesti. Kirjallisuuteen perustuen tutkimus osoitti evästeiden ja siirtoprotokollien heikkouksia ja haavoittuvuuksia, joita hyökkäyksissä voidaan käyttää hyväksi. Tuloksissa havaittiin puutteita evästeiden eheydessä. Evästeiden luottamuksellisuus todettiin heikoksi. Tulokset osoittivat, että eväste-protokolla tulisi päivittää uudelle turvallisuustasolle. Tutkimus osoitti, että nykyisessä muodossaan evästeet altistuvat hyökkäyksille, joissa evästeitä kaapataan ja manipuloidaan. Lisäksi tulokset osoittivat, että evästeet altistuvat XSS ja CSRF -tyyppisille hyökkäksille. Useita puolustusmekanismeja tulisi asettaa evästeisiin hyökkäysten ehkäisemiksi.
...
HTTP cookie has been a commonly used technique in the world wide web. Several widescale data breaches have shown that cookies can be compromised with multiple attack types. It was inevitable to identify the weaknesses of cookies. Researchers in the ICT field have emphasized several vulnerabilities and weak points in cookies. Cookie protocol has been based on a draft that was signed over two decades ago. By means of systematic literature review the weaknesses of cookies, the attack methods that exploit the weaknesses, and defense methods to mitigate the attacks were disclosed in this research. Literature addressing cookie specification, attack methods, and defense methods, was examined and evaluated. Based on the literature the research indicated that cookies and the transmitting protocols contain weaknesses and vulnerabilities that can be exploited by attackers. The research addressed that cookies lack confidentiality and integrity. Cookie protocol should be updated to a new level of security. In the current form, cookies are exposed to poisoning, hijacking, manipulation, cross-site scripting, cross-site request forgery, TCP/IP hijacking, and session fixation. Several defense methods should be applied to mitigate the attacks.
...




Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [24854]
Related items
Showing items with similar title or keywords.
-
Artificial Intelligence for Cybersecurity : A Systematic Mapping of Literature
Wiafe, Isaac; Koranteng, Felix N.; Obeng, Emmanuel N.; Assyne, Nana; Wiafe, Abigail; Gulliver, Stephen R. (IEEE, 2020)Due to the ever-increasing complexities in cybercrimes, there is the need for cybersecurity methods to be more robust and intelligent. This will make defense mechanisms to be capable of making real-time decisions that can ... -
Trends for the DevOps Security : A Systematic Literature Review
Leppänen, Tiina; Honkaranta, Anne; Costin, Andrei (Springer International Publishing, 2022)Due to technical advances, old ways for securing DevOps software development have become obsolete. Thus, researchers and practitioners need new insights into the security challenges and practices of DevOps development. ... -
Etic and emic data production methods in the study of journalistic work practices : A systematic literature review
Haapanen, Lauri; Manninen, Ville JE (SAGE Publications, 2023)This methodological paper discusses the application of etic and emic perspectives in producing data sets for the study of journalistic praxis. The concepts refer to the researcher-analyst’s and the practitioner-informant’s ... -
The contested concept of vulnerability : a literature review
Vironkannas, Elina; Liuski, Suvi; Kuronen, Marjo (Routledge, Taylor & Francis Group, 2020)The concept of vulnerability is widely used in the social sciences as well as in policy making, health and social care services and in social work, referring to a variety of groups or individuals, but it has rarely been ... -
Book of Abstracts : Special Technology Sessions : 8th European Congress on Computational Methods in Applied Science and Engineering (ECCOMAS 2020) 14th World Congress on Computational Mechanics (WCCM XIV)
Knoerzer, Dietrich; Periaux, Jacques; Tuovinen, Tero (European Community on Computational Methods in Applied Sciences ECCOMAS, 2021)