Cookie poisoning là gì?

Cookie poisoning là một quá trình mà một người không hợp pháp (unauthorized) thay đổi nội dung trong tập tin cookie của người dùng. Mục đích của cookie poisoning là giành quyền truy cập (access) vào thông tin nhạy cảm từ cookie hoặc máy chủ (server) lưu trữ trang website. Bất kỳ cuộc tấn công (attack) nào cũng có thể đạt được khi cookie poisoning bao gồm cross-site scripting, buffer overflow và SQL injection.

Một cuộc tấn công thông thường bắt đầu bằng cách lấy các tham số được lưu trữ trong cookie của người dùng. Cookie có thể lưu trữ thông tin như số nhận dạng phiên (session identifier), id người dùng, thông tin giá cả, sở thích (preference) của người dùng, ngày hết hạn và hơn thế nữa. Bằng cách thay đổi các giá trị tham số, kẻ tấn công (attacker) có thể truy cập vào một website bằng cách sử dụng cookie như một hình thức xác thực (authentication) hoặc thay đổi các giá trị được cookie lưu trữ.