Как защитить файлы cookies?

В этом видео инженер по безопасности приложений Swordfish Security Оксана Сурвилло рассказала, какие данные можно и нельзя хранить в куки и как защитить их с помощью флагов Secure, HttpOnly, Domain, Path и SameSite.

Куки — это текстовые файлы, хранящиеся на устройствах пользователей. Они содержат небольшие фрагменты данных, например, идентификатор сессии. С их помощью сайты запоминают информацию о пользователях.

Сегодня украденные куки зачастую дают больше возможностей для хакеров, чем логин и пароль. Например, компрометация сессионного куки позволяет злоумышленнику войти в почту, CRM и облачные хранилища без пароля и дополнительной верификации.

🔒 При неправильной настройке куки также могут стать объектом атак злоумышленников, поэтому важно обеспечить их безопасность.

🔼Также в видео эксперт показывает реальный сценарий эксплуатации уязвимости в куки, в результате которой злоумышленник может получить доступ к аккаунту администратора сайта.