Hack the Cookie: Ataque de Envenenamento de Cookie

O envenenamento de cookie é uma das falhas de segurança web mais fundamentais, e entendê-la é essencial para quem está entrando em segurança de aplicações. Cookies HTTP são pequenos dados que o navegador armazena e envia com cada requisição ao servidor de origem. Quando uma aplicação web armazena decisões de autorização em cookies do lado do cliente sem proteção de integridade, um atacante pode falsificar esses valores para escalar privilégios e alcançar funcionalidades restritas. Este lab prático da HackerDNA faz você explorar exatamente esse erro.

Como funciona a autenticação baseada em cookies

Muitas aplicações usam cookies para rastrear sessões e armazenar o estado de autenticação. Após o login, o servidor entrega ao navegador um cookie com as informações de sessão. Às vezes é um identificador de sessão aleatório que aponta para dados guardados no servidor; outras vezes são os dados reais do usuário codificados com um esquema reversível como Base64 ou JSON. A pergunta de segurança é simples: o servidor valida o cookie quando ele volta, ou confia em tudo o que o cliente envia?

Quando uma aplicação armazena um papel, ID de usuário ou flag de permissão direto em um cookie usando codificação reversível em vez de uma assinatura criptográfica, ela abre a porta para o envenenamento de cookie. Um atacante decodifica o cookie, muda o papel de guest para admin, recodifica e o envia de volta. Se o servidor confia no valor, o atacante ganha acesso administrativo. Essa única verificação ausente é o motivo de a falsificação de cookie continuar sendo um clássico do treinamento em segurança web e de relatórios reais de bug bounty.

Base64 é codificação, não criptografia

Um equívoco comum é achar que um cookie Base64 está criptografado. Base64 é apenas uma codificação que transforma dados binários em texto ASCII, então não oferece nenhuma confidencialidade. Qualquer valor Base64 é decodificado na hora com as ferramentas integradas do navegador, a função de console atob() ou um utilitário de linha de comando como base64 -d. Desenvolvedores que dependem do Base64 para ocultar dados sensíveis criam uma falsa sensação de segurança que um atacante desfaz em segundos.

Defesa contra o envenenamento de cookie

Aplicações seguras nunca confiam em dados do lado do cliente para autorização. Sessões do lado do servidor mantêm papéis e permissões no servidor e os referenciam por um ID de sessão aleatório que não revela nada. Quando um cookie precisa carregar dados do usuário, uma assinatura criptográfica (HMAC) ou criptografia autenticada torna qualquer falsificação detectável. Frameworks modernos já trazem isso: Flask com itsdangerous, cookies assinados do Django e o cookie-session do Express.js rejeitam um cookie modificado em vez de confiar nele. Pratique o ataque aqui e você reconhecerá a defesa em todo lugar.