資料結構
網路
關係資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝學
法學Cookie如何構成威脅?
網際網路無疑是關於商品、商店、客戶投訴、使用者體驗等等資訊的最佳來源。公司使用Cookie來試圖激發使用者瀏覽的興趣,並提供儘可能最佳的體驗。
Lon Montulli被認為於1995年為Netscape Communication Corporation發明了Cookie。
"Cookie"一詞源於程式設計術語"magic cookies",指的是在程式之間交換的資料。
http cookie、瀏覽器cookie和網頁cookie都是Cookie的稱呼。
什麼是Cookie?
Cookie是Web伺服器儲存在使用者計算機上的小型文字檔案。
此文字檔案包含以名稱-值對形式的資訊,網站可以獲取這些資訊。
這個獨特的變數用於區分嘗試訪問系統的不同使用者。
只有最初設定Cookie的網站才能檢索它。
一些Cookie還包含唯一的會話識別符號和時間值。
Cookie為何存在?
Cookie是一個非常小的文字檔案,它儲存使用者計算機上的當前狀態。網站可以獲取此資訊以確定網站的當前狀態。網站可以透過檢視Cookie的ID欄位來推斷使用者是否已經訪問過。
網站的點選次數由分配給每個使用者的唯一ID確定。因此,網站可以使用Cookie唯一地識別訪問次數。
Cookie還可以用於對重複使用者進行分類並跟蹤單個使用者檢視頁面的次數。
Cookie可以記錄首選項和設定,此資訊可用於回憶使用者的選擇併為特定使用者建立定製體驗。對於電子商務網站,唯一ID可用於建立使用者的購物車。使用者可以向購物車新增商品,此首選項以及唯一ID將儲存在網站的資料庫中。當同一使用者返回網站時,可以使用Cookie中的唯一ID來獲取該使用者的購物偏好。
網站還使用Cookie來衡量使用者在網站上花費的時間以及使用者點選的連結。此外,Cookie還可以用於記住使用者的個人首選項和顏色設定。
YouTube如何使用Cookie?
考慮一下YouTube(Google所有)的例子。YouTube使用Cookie來評估使用者偏好並根據該資訊個性化使用者結果。
當用戶第一次檢視YouTube時,他/她將看到隨機數量的結果。
觀看一兩次後,使用者會建立偏好,這些偏好會儲存在使用者的Cookie中。
當同一使用者再次登入時,YouTube可以使用此Cookie來查詢與使用者偏好相似的影片。
如何安全地管理Cookie和瀏覽
鑑於Cookie的性質及其可能的隱私隱患,務必考慮它們如何影響您的個人安全。因此,以下是一些有助於維護您的線上隱私的提示:
檢查瀏覽器中的隱私選項 − 如果您想停用部分或所有Cookie,請轉到瀏覽器上的設定>隱私(或類似選項,具體取決於瀏覽器)。但是,停用所有Cookie可能會嚴重影響您的瀏覽體驗,尤其是在依賴於Cookie的功能中斷的情況下。
從您的計算機中刪除所有Cookie − 為確保安全,您可以定期刪除Cookie,這將清除所有瀏覽器的跟蹤和自定義嘗試。但是,您可能需要重新輸入登入資訊,這可能會帶來不便。
使用代理伺服器是個好主意 − 使用VPN匿名瀏覽。在這種情況下,Cookie儲存在遠端伺服器上,而不是您的計算機上。
在安全的環境中瀏覽 −或者,您可以使用Google Chrome等瀏覽器以隱身模式瀏覽,這可以阻止網站使用Cookie。但是,許多功能可能會受到影響,從而使瀏覽頁面更加困難。
最後,遠離可疑網站(注意任何瀏覽器警告)並保持瀏覽器更新。如果您使用的是舊版本,則可能會受到惡意攻擊。因此,最好定期更新瀏覽器以確保安裝所有安全更新。
與Cookie相關的風險
以下是攻擊者使用Cookie進行攻擊的一些示例:
跨站請求偽造 (XSRF) 攻擊
會話固定
站點間指令碼攻擊
Cookie投擲攻擊
Cookie溢位攻擊
跨站請求偽造 (XSRF) 攻擊
Cookie是瀏覽器響應請求傳送的,獨立於請求的來源。這就是Cookie的真正問題所在。當網站收到請求時,它無法確定該活動是否由使用者啟動。它會檢查Cookie,如果找到Cookie,它會執行該操作,就好像它是由使用者啟動的一樣。可以使用一個例子來闡明這一點。
假設一個名為“John”的使用者訪問一個名為“www.example.com”的知名網站,並且他的計算機上有一個有效的Cookie。“Crusoe”(攻擊者)將一個連結嵌入到影像中,以對“www.example.com”執行某些刪除操作,並將其上傳到“www.exploit.com”。當John訪問“www.exploit.com”時,該網站會載入影像並向“www.example.com”傳送刪除請求。Web伺服器在收到請求時會搜尋Cookie。然後它查詢John的Cookie,將其解釋為合法請求並將其刪除。
會話固定
會話固定攻擊基於應用程式級別。在這種型別的攻擊中,攻擊者強制受害者使用攻擊者或其他人的會話ID。這是透過利用Cookie的瀏覽器指令路由來實現的,該路由允許使用者冒充他人。攻擊者可以使用此策略說服使用者在多個應用程式級別以攻擊者的身份登入。
站點間指令碼攻擊
攻擊者必須將漏洞嵌入Cookie中才能執行跨站點指令碼攻擊。然後,利用向量將從Cookie中獲取有效負載並執行利用。如果Cookie已經建立,則此類攻擊會變得更加困難。在這種情況下,攻擊者必須首先控制Cookie字串中的第一個Cookie,然後才能發起攻擊。
Cookie投擲攻擊
Cookie投擲是最常見的Cookie攻擊型別之一,其工作方式如下:
假設一個使用者訪問“www.example.com”並獲得一個域Cookie。
下次使用者訪問同一站點時,Cookie將傳遞給Web伺服器。
現在的問題是Cookie沒有路徑或網站名稱。因此,如果攻擊者建立子域Cookie並將其與真實Cookie一起傳送,Web伺服器將接受兩者。
由於沒有規則要求瀏覽器首先發送域Cookie,因此它可能會首先發送子域Cookie。
如果惡意子域Cookie是Web伺服器收到的第一個Cookie,它將被視為真實Cookie,並且該Cookie的值將用於為使用者提供會話。
Web伺服器無法確定Cookie是否真實,因為域路徑安全和Http Only等Cookie屬性不會提供給它。
Cookie溢位攻擊
在這種型別的攻擊中,可以透過在子域中使用Jscript來使用子域Cookie更改父域Cookie。
瀏覽器對可以儲存的Cookie數量有限制,有些瀏覽器(如Chrome)不會檢查Cookie是來自域還是子域。它只會儲存提供給它的Cookie。
將要更新的子域Cookie不會是HttpOnly或安全型別。
儲存子域Cookie後,攻擊者可以修改Cookie的過期日期,使Cookie變得毫無意義。
現在攻擊者能夠建立新的惡意Cookie並將其傳送到Web伺服器。
此外,Web伺服器無法判斷Cookie是否安全或HttpOnly。因此,可以使用生成的Cookie進行攻擊。
結論
總而言之,遠離可疑網站(注意任何瀏覽器警告)並保持瀏覽器更新。如果您使用舊版本,則可能會受到惡意攻擊。因此,最好經常更新瀏覽器以確保安裝所有安全更新。
679 次檢視
