【IT168 资讯】近日，有研究员发出警告，如果你使用基于Web的登陆认证服务，比如登陆电子邮件或者网上银行帐户，那很可能会受到来自cookie monster的潜在攻击。

　　安全研究员 Mike Perry表示，“CookieMonster是基于Python的工具，它可以搜集到不安全的HTTPS cookies记录，包括Firefox的http cookies文件。”

　　HTTPS本该是十分安全的，其中的"S"代表了安全套接层(Secure Sockets Layer，SSL)的意思。可悲的是，很多网站并没有对它们的cookies设置“只允许加密会话”，而是采取开放式、未被保护的方式发送HTTPS cookies。这样，就会使得攻击者可以进行跨站点请求伪造攻击，注入带欺骗性的代码到用户访问的网页，从而获取相关cookies信息。

　　由于HTTPS cookies包含了身份验证的所有信息，他们可以用来访问在线银行帐户或者邮件帐户等。

　　Perry还在一篇博客中解释，“这类攻击的最重要方面，是大多数人忽略了其可以删除cookies中记载的不安全域名列表，其次，就是该工具可以放过任意一个并不安全的SSL站点。”

　　据悉，Perry已经对CookMonster进行了相应的一些改进，并将在短期内公布于众。

　　另外，他还提出以下测试，以查看你所使用的网站是否存有安全漏洞：在Firefox下，点击窗口中的隐私选项卡，并点击“显示cookies”。对于给定的网站，检查较高级别用户的个人cookies，当然任何子网域名称的也不例外。如果有任何“发送：只允许加密连接”的，删除它，然后再访问你登陆过的网站。如果它仍然显示你登陆，那么该网站并不安全，而且你的网络会话也可能被盗。你应该把此事报告给网站管理员。

　　经过这些步骤后，你会发现Google存有CookieMonster攻击漏洞。而一位Google发言人也证实确有此事，同时表示公司的工程师正与Perry协同工作，以消除该漏洞。

　　这位发言人还表示，“Gmail用户正关注这个问题是否能获得安全保护。我们也正在进行修复工作，以便在最短的时间内能够提供安全保障。”

　　当然，Google并不是唯一受此影响的公司。上个月，Perry就公布了一份拥有此漏洞的网站名单(http://fscked.org/blog/incomplete-list-alleged-vulnerable-sites)，这些名单中，有各大不同的银行网站和旅行社网站。