Stealing HttpOnly cookies with the cookie sandwich technique
In this post, I will introduce the "cookie sandwich" technique which lets you bypass the HttpOnly flag on certain servers. This research follows on from Bypassing WAFs with the phantom $Version cookie
Der Artikel führt die Cookie-Sandwich-Technik ein, mit der unter bestimmten Serverbedingungen HttpOnly-Cookies umgangen werden können. Er baut auf Forschung zu phantom $Version cookies auf. Konkrete betroffene Server, Versionen und IOCs sind nicht im Artikel angegeben.
Bestimmte Server mit betroffener Cookie-Verarbeitung; konkrete Produkte sind nicht im Artikel angegeben
HttpOnly-Cookies werden häufig zum Schutz sensibler Sitzungsdaten verwendet; eine Umgehung kann Sitzungsrisiken erhöhen.
Ein Angreifer kann unter passenden Serverbedingungen eigentlich geschützte Cookie-Inhalte offenlegen.
Cookie-Parsing-Verhalten der eigenen Plattformen defensiv prüfen und Herstellerempfehlungen zu Cookie-Verarbeitung und Framework-Versionen verfolgen.
- ▸Prüfen, welche Anwendungen HttpOnly-Cookies für Sitzungs- oder Authentifizierungsdaten verwenden.
- ▸Cookie-Parsing-Verhalten zwischen Frontend, Middleware und Backend auf Diskrepanzen testen.
- ▸Überwachen, ob ungewöhnliche Cookie-Namen oder Cookie-Header-Muster in Weblogs auftreten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Credential Access | T1539 Steal Web Session Cookie | Medium | Der Artikel nennt das Stehlen von HttpOnly-Cookies mit der Cookie-Sandwich-Technik. |
- Betroffene Server oder Frameworks sind nicht im Artikel angegeben.
- Konkrete Voraussetzungen für die Ausnutzung sind nicht vollständig im Artikel angegeben.
- Keine CVEs, Patches oder IOCs sind im Artikel angegeben.