HTTP cookie weaknesses, attack methods and defense mechanisms : a systematic literature review
Authors
Date
2018Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
HTTP-eväste on ollut yleisesti käytetty tekniikka maailmanlaajuisissa tietoverkoissa. Useat laajamittaiset tietomurrot ovat osoittaneet, että evästeitä voidaan murtaa useilla erilaisilla hyökkäystyypeillä. On väistämätöntä tunnistaa evästeiden heikkouksia. ICT-alan tutkijat ovat osoittaneet lukuisia evästeiden haavoittuvuuksia ja heikkouksia. Eväste-protokolla on perustunut yli kaksi vuosikymmentä sitten laadittuun luonnokseen. Tässä tutkimuksessa tutkittiin systemaattisen kirjallisuuskatsauksen metodein evästeiden heikkouksia, heikkouksia hyödyntäviä hyökkäysmetodeja ja puolustusmekanismeja hyökkäyksien ehkäisemiseksi. Tutkimuksessa analysoitiin evästeiden määrittelyä, hyökkäysmetodeja ja puolustusmekanismeja tutkivaa kirjallisuutta. Käytetty kirjallisuus arvioitiin tutkimusmenetelmän metodien mukaisesti. Kirjallisuuteen perustuen tutkimus osoitti evästeiden ja siirtoprotokollien heikkouksia ja haavoittuvuuksia, joita hyökkäyksissä voidaan käyttää hyväksi. Tuloksissa havaittiin puutteita evästeiden eheydessä. Evästeiden luottamuksellisuus todettiin heikoksi. Tulokset osoittivat, että eväste-protokolla tulisi päivittää uudelle turvallisuustasolle. Tutkimus osoitti, että nykyisessä muodossaan evästeet altistuvat hyökkäyksille, joissa evästeitä kaapataan ja manipuloidaan. Lisäksi tulokset osoittivat, että evästeet altistuvat XSS ja CSRF -tyyppisille hyökkäksille. Useita puolustusmekanismeja tulisi asettaa evästeisiin hyökkäysten ehkäisemiksi.
...
HTTP cookie has been a commonly used technique in the world wide web. Several widescale data breaches have shown that cookies can be compromised with multiple attack types. It was inevitable to identify the weaknesses of cookies. Researchers in the ICT field have emphasized several vulnerabilities and weak points in cookies. Cookie protocol has been based on a draft that was signed over two decades ago. By means of systematic literature review the weaknesses of cookies, the attack methods that exploit the weaknesses, and defense methods to mitigate the attacks were disclosed in this research. Literature addressing cookie specification, attack methods, and defense methods, was examined and evaluated. Based on the literature the research indicated that cookies and the transmitting protocols contain weaknesses and vulnerabilities that can be exploited by attackers. The research addressed that cookies lack confidentiality and integrity. Cookie protocol should be updated to a new level of security. In the current form, cookies are exposed to poisoning, hijacking, manipulation, cross-site scripting, cross-site request forgery, TCP/IP hijacking, and session fixation. Several defense methods should be applied to mitigate the attacks.
...




Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [23442]
Related items
Showing items with similar title or keywords.
-
Etic and emic data production methods in the study of journalistic work practices : A systematic literature review
Haapanen, Lauri; Manninen, Ville JE (SAGE Publications, 2021)This methodological paper discusses the application of etic and emic perspectives in producing data sets for the study of journalistic praxis. The concepts refer to the researcher-analyst’s and the practitioner-informant’s ... -
Investigating the causal mechanisms underlying the customization of software development methods
Ghanbari, Hadi (University of Jyväskylä, 2017)Over the last four decades, software development has been one of the mainstream topics in the Software Engineering and Information Systems disciplines. Thousands of methods have been put forward offering prescriptions ... -
The contested concept of vulnerability : a literature review
Vironkannas, Elina; Liuski, Suvi; Kuronen, Marjo (Routledge, Taylor & Francis Group, 2020)The concept of vulnerability is widely used in the social sciences as well as in policy making, health and social care services and in social work, referring to a variety of groups or individuals, but it has rarely been ... -
Transport layer DDoS attack types and mitigation methods in networks
Zudin, Rodion (2015)Hajautetut palvelunestohyökkäykset ovat olleet kasvava uhka yrityksille jotka käyttävät tietoverkkoihin perustuvia elementtejä tietojärjestelmissään. Viime aikoina eivät pelkästään liikeyritykset, vaan myös poliittiset ... -
Book of Abstracts : Special Technology Sessions : 8th European Congress on Computational Methods in Applied Science and Engineering (ECCOMAS 2020) 14th World Congress on Computational Mechanics (WCCM XIV)
Knoerzer, Dietrich; Periaux, Jacques; Tuovinen, Tero (European Community on Computational Methods in Applied Sciences ECCOMAS, 2021)