HttpOnly Cookieを「cookie sandwich」技法で奪うとは何か――PortSwiggerが示した“特定条件下の迂回”

本記事は、PortSwigger Researchの「Stealing HttpOnly cookies with the cookie sandwich technique」を元ソースとして、その主張（“cookie sandwich”により、特定のサーバではHttpOnlyの意図を迂回し得る）と、同社が公開している関連研究との文脈を日本語で整理したものです。citeturn0search0

概要

HttpOnlyは、一般に「ブラウザ上のスクリプトがCookieを読む」経路を閉じることで、XSSなどでセッション情報が直接盗まれるリスクを下げるための属性として知られています。ところがPortSwigger Researchは、“cookie sandwich”と名付けた技法によって、特定のサーバ実装条件ではHttpOnlyフラグの想定を迂回できるケースがある、と述べています。citeturn0search0

元記事の冒頭スニペットによれば、この研究は「Bypassing WAFs with the phantom $Version cookie」に続く流れの中で提示されています。つまり、Webアプリ防御（WAFなど）や周辺の入力・解釈レイヤに存在する“想定外の解釈”を足がかりに、セキュリティ境界の前提を崩していく、という問題意識の延長線上に位置づけられます。citeturn0search0

詳細

“cookie sandwich”という名称が示す通り、焦点はCookieの扱い（どの値が、どの順で、どのコンポーネントで解釈されるか）にあります。PortSwigger Researchは、HttpOnlyが付与されたCookieであっても「ある種のサーバ」における処理のされ方次第で、結果として保護の前提が崩れる可能性がある、という論点を打ち出しています。citeturn0search0

このテーマがXSS研究と強く結びつくのは、XSSが成立した場合に“何が次に起きるか”が現実の被害規模を決めるためです。PortSwiggerはXSSに関する研究や整理も継続的に公開しており、コミュニティの知見を取り上げたXSSチートシート寄稿のまとめや、新しいXSSベクターの研究記事が参照可能です。これらを並べて読むことで、「スクリプト注入（入口）→ブラウザ・アプリの解釈（連鎖）→セッション・認可への影響（出口）」という全体像の中で、HttpOnly迂回がどこに位置するのかを把握しやすくなります。citeturn0search2turn0search3

さらに、現代のWeb防御ではCSP（Content Security Policy）も重要な位置を占めます。PortSwiggerはnonceベースCSPのバイパス探索に関する研究も公開しており、単一の対策に依存しない理解（攻撃者は“通る経路”を探し、守り手は“前提の崩れ方”を潰す必要がある）を促す材料になります。HttpOnlyの話題も、ブラウザ側制約だけでなく、サーバ側の取り扱い・中間層の解釈・ポリシー設計など、複数レイヤの“整合”が重要だという観点で読み解けます。citeturn0search4

また、入力やペイロードがネットワークやパーサを通過する過程で「見え方」が変わる点は、URLの資格情報（URL credentials）領域にペイロードを隠すという研究トピックとも親和性があります。どのレイヤがどの表現を“正規化”し、どの段階でフィルタや検査が働くのか――そうした解釈のズレが、WAF回避や想定外の挙動につながり得る、という問題設定は共通しています。citeturn0search1

なお、当該研究はコミュニティでも話題になっており、Reddit上でも反応が見られます。一次情報の理解を補う意味でも、議論の温度感や関心のポイントを把握する参考にはなりますが、事実関係の確定には原典（PortSwigger Research）を優先して読むべきでしょう。citeturn0search5