最新国产亚洲无码精品视频_亚洲欧洲日韩精品视频_日韩在线视精品在亚洲_国产91丝袜老师喷水_美女胸18下看禁止免费网站_男男videos視頻歐美_91成人超碰在线_亚洲精品一级在线上播放_久久亚洲国产精品三级_在线播放欧美日韩一区二区

首頁 / 新聞資訊/網(wǎng)站制作

網(wǎng)站設(shè)計的安全性- 什么是Cookie劫持以及如何預(yù)防?

03.29

2023

2023.03.29

1900

1900
分享至

Cookie可讓網(wǎng)站在您上網(wǎng)時識別您的身份,它們對有回頭客的網(wǎng)站最有益。如果您曾經(jīng)訪問過天氣網(wǎng)站,并且它會根據(jù)您上次訪問記住您的位置,那么這就是使用cookie的一個示例。

當(dāng)您登入Web應(yīng)用程序或站點(例如社群媒體賬戶或零售網(wǎng)站上的個人資料)時,由于服務(wù)器設(shè)定了臨時會話cookie,您的瀏覽器會知道您已登入。該會話意味著您可以在瀏覽站點并單擊不同頁面時保持登入狀態(tài)。如果沒有cookie,您每次在該網(wǎng)站上打開新頁面時都必須重新登入。

這很方便,是的,但它使您更容易受到cookie劫持者的攻擊。如果黑客獲得了您的會話ID的訪問權(quán)限,他們可以訪問您在網(wǎng)站上訪問過的相同位置,并假裝是您。 

什么是Cookie劫持?

Cookie劫持,也稱為會話劫持,是黑客訪問和竊取您的個人數(shù)據(jù)的一種方式,他們還可能阻止您訪問某些賬戶。

劫持cookie與找出您的密碼一樣強大,有時甚至更強大。通過cookie劫持,黑客可能可以無限制地訪問您的所有資源。例如,攻擊者可能會竊取您的身份或公司機密數(shù)據(jù);購買物品;或竊取您的銀行賬戶。

Cookie 劫持是如何工作的?

當(dāng)惡意軟件程序等待用戶登入網(wǎng)站時,可能會發(fā)生Cookie劫持。然后,惡意軟件竊取會話 cookie 并將其發(fā)送給攻擊者。

當(dāng)攻擊者向用戶發(fā)送虛假登入訊息時,通常會發(fā)起cookie攻擊。受害者點擊虛假連結(jié),這讓攻擊者竊取了cookie——實際上,攻擊者可以捕獲用戶輸入的任何內(nèi)容。攻擊者然后將該cookie放入他們的瀏覽器中,并能夠扮演您的角色。

有時,甚至不需要虛假連結(jié)。如果用戶在不安全的公共Wi-Fi連接上進行會話,黑客可以輕松竊取通過連接傳輸?shù)臄?shù)據(jù)。即使該站點是安全的并且您的用戶名和密碼已加密,這種情況也可能發(fā)生。

一旦攻擊者擁有用戶的會話cookie,他們就可以登入網(wǎng)站并執(zhí)行您可以執(zhí)行的幾乎任何操作,包括更改您的密碼。這通常是自動化的,因此只需幾秒鐘即可完成。如果攻擊者隨后對受害者啟用多因素身份驗證 (MFA),他們可能再也無法訪問其賬戶。

Firesheep

Firesheep是cookie劫持有時如何運作的一個很好的例子。這個Firefox瀏覽器擴展由編碼員Eric Butler于 2010 年10月建立,它竊聽共享Wi-Fi熱點上用戶的瀏覽會話,以密切關(guān)注會話cookie。當(dāng)它檢測到一個時,它會攔截它以接管屬于該會話的人的身份。這種cookie劫持的方法稱為數(shù)據(jù)包嗅探。

Firesheep不是惡意的。它旨在展示當(dāng)只有登入過程而不是cookie被加密時,從流行網(wǎng)站劫持cookie會話是多么容易。巴特勒表明,通過基本的cookie檢查,訪問同一熱點的黑客可能會冒充另一個人。

更多Cookie劫持方法

還有一些其他的cookie劫持方法需要注意。使用蠻力攻擊惡意軟件注入;如果惡意軟件感染了您的計算機或您運行的網(wǎng)站,它可以監(jiān)視您并記錄瀏覽器會話。

如何防止Cookie劫持

預(yù)防此類黑客行為的范圍從利用先進的安全技術(shù)到教您的員工(和其他人)了解cookie劫持威脅。

MFA保護

不幸的是,高級MFA保護和高級cookie劫持方法是周期性的。隨著一個改進,另一個也必須改進。對于企業(yè)和網(wǎng)站所有者來說,實施更多的MFA保護并不總是能提高安全性——它只會使cookie劫持攻擊更加先進。

這并不意味著根本不使用 MFA——它在某些情況下確實減少了攻擊。最大的問題是人們?nèi)匀稽c擊那些虛假連結(jié),這就是為什么教育在這里如此重要(稍后會詳細(xì)介紹)。

此外,某些MFA 形式比其他形式更強。例如,基于文本的身份驗證代碼較弱,而受時間限制的一次性密碼較強。

教育

每個人都應(yīng)該知道如何發(fā)現(xiàn)虛假連結(jié)。通常,網(wǎng)站地址會出現(xiàn)拼寫錯誤,如果您不注意,很容易錯過。例如,它可能拼寫為「Facebok」而不是「Facebook」。如果您注意到類似的內(nèi)容,請不要單擊該連結(jié)。

此外,不同類型的MFA 解決方案具有不同的風(fēng)險。由企業(yè)的IT部門來識別這些風(fēng)險。再次,教育是關(guān)鍵。

更多數(shù)字衛(wèi)生提示

還有一些方法可以限制cookie劫持嘗試的風(fēng)險:

檢查URL:安全網(wǎng)站應(yīng)使用HTTPS來加密所有流量。查看URL以查看它是否以HTTPS開頭。

僅使用安全連接:避開免費的公共Wi-Fi,尤其是那些甚至沒有密碼保護的Wi-Fi。

完成后注銷:每當(dāng)您在網(wǎng)站上完成時,注銷。如果您在線工作并且每天必須多次訪問相同的站點,請將瀏覽器設(shè)定為在您關(guān)閉瀏覽器時自動將您注銷。

刪除Cookies:定期清除您的cookie以確保任何剩余的瀏覽活動數(shù)據(jù)都消失了。

使用VPN:為了獲得更高級的保護,您可以使用虛擬專用網(wǎng)絡(luò),它會隱藏您的IP 地址并通過加密通道重新路由您的流量。

WordPress用戶需要了解的關(guān)于Cookie劫持的內(nèi)容

在線瀏覽時保持安全是一回事。如果您擁有或運行WordPress 網(wǎng)站,您還必須保護自己的網(wǎng)站免受cookie劫持,更不用說保護您的訪問者了。

如果您的網(wǎng)站成為cookie劫持的受害者,攻擊者可能會獲取您和您客戶的登入憑據(jù)。他們還可以竊取信用卡訊息以及其他個人訊息。從本質(zhì)上講,如果您的網(wǎng)站上存在cookie劫持,那么每個人和一切都處于危險之中。除MFA外,還應(yīng)優(yōu)先考慮以下事項。

安裝SSL證書

確保您的虛擬主機為您的網(wǎng)站提供SSL證書。當(dāng)數(shù)據(jù)在用戶的瀏覽器和Web 服務(wù)器之間傳輸時,SSL會對數(shù)據(jù)進行加密,使其不易被讀取。

使用HTTPS

您不想訪問沒有HTTPS的其他網(wǎng)站,您的網(wǎng)站應(yīng)該遵循相同的標(biāo)準(zhǔn)。您不僅需要在站點的登入頁面上使用HTTPS,還需要在整個站點上使用HTTPS。

使用反惡意軟件解決方案

每個WordPress 網(wǎng)站都應(yīng)該有一個可靠的安全插件。反惡意軟件解決方案將使cookie 竊取軟件遠離。我們有一份適合您網(wǎng)站的最佳WordPress 安全插件列表。

保持您的網(wǎng)站更新

您網(wǎng)站的每個部分都應(yīng)該保持最新,從WordPress 安裝本身到您安裝的任何主題和插件。每當(dāng)您運行過時的軟件時,它都容易受到攻擊。

Cookie劫持常見問題

黑客可以用cookie 做什么?

很多。想想您在網(wǎng)站上填寫的任何個人訊息——您的用戶名和密碼、您的信用卡訊息、您的地址等。一旦黑客獲得了您的會話cookie 的訪問權(quán)限,他們基本上可以扮演您的角色。例如,如果您登入到您的銀行賬戶,他們可以設(shè)定轉(zhuǎn)帳以清空您的賬戶并將資金轉(zhuǎn)移到他們自己的賬戶中,然后他們可以更改密碼,因此您根本無法訪問銀行賬戶.

如果您接受cookie,您會被劫持嗎?

有時。當(dāng)您使用不安全的公共 Wi-Fi(例如在咖啡店或商場)時,您最容易受到攻擊。Wi-Fi 連接沒有任何安全措施可以阻止黑客訪問他們可以訪問的任何內(nèi)容。如果您必須在這種類型的設(shè)定中上網(wǎng),請至少在瀏覽器上使用隱私或隱身模式。

如何清除cookie?

大多數(shù)瀏覽器都有刪除歷史記錄和數(shù)據(jù)的選項。您應(yīng)該能夠刪除所有內(nèi)容,或者您可以選擇僅刪除您的cookie 和站點數(shù)據(jù)——這取決于您。您也可以將其設(shè)定為自動發(fā)生。

關(guān)于Cookie 劫持的最終想法

在線保護自己不僅僅是擁有難以猜測的密碼和在您完成一天后刪除您的瀏覽歷史記錄。您也必須保護您的會話cookie,盡管大多數(shù)人甚至沒有意識到這使他們變得多么脆弱。Cookie 存儲了大量有價值的訊息——所有這些訊息都是您努力以其他方式保護的。

如果您經(jīng)營任何規(guī)模的組織,它肯定應(yīng)該使用 MFA——但也有必要知道這不是一個萬無一失的選擇。您需要多層安全保護以防止cookie 劫持,而MFA 只是其中一層。對于WordPress 網(wǎng)站所有者來說,設(shè)定盡可能安全的網(wǎng)站以保護您自己、您的員工和您的訪問者非常重要。

防止cookie劫持企圖最重要的是教育。讓員工、用戶和經(jīng)理意識到威脅,包括注意什么和不做什么,是必不可少的。


用戶登錄

同意 用戶協(xié)議 或 注冊協(xié)議
我要用驗證碼登錄
還沒有賬戶? 點我申請
南京
上海
廣州
杭州
聯(lián)系電話 025-8481 8352; 8618 9092
電子郵件 [email protected]
微信咨詢 longmeiwangluo   點擊復(fù)制
聯(lián)系電話 137 8891 5955
電子郵件 [email protected]
微信咨詢    點擊復(fù)制
聯(lián)系電話 18927551025
電子郵件 [email protected]
微信咨詢    點擊復(fù)制
聯(lián)系電話 138 6813 5210
電子郵件 [email protected]
微信咨詢    點擊復(fù)制
Copyright ? 2024 南京龍媒網(wǎng)絡(luò)科技有限公司 All Right Reserved 站長統(tǒng)計