超级会员免费看
网页Cookie安全威胁与测试方法解析
一、常见的Cookie攻击手段
1.1 Cookie窃取
当用户点击特定链接时,其拍卖网站的Cookie会被发送到攻击者的服务器,攻击者通过CGI脚本记录这些信息。之后,攻击者可以从记录的Cookie列表中挑选最新的一些,尝试用这些Cookie登录拍卖网站并伪装成用户。
1.2 Cookie投毒
攻击者访问电子商务网站,将昂贵物品添加到购物车。接着查看系统中该网站存储的Cookie,确认其是否包含购物车物品的总价。然后,攻击者修改系统上的Cookie,将总价改为5美元并重新保存。最后,攻击者返回该电子商务网站,检查购物车发现总价变为5美元,进而以这个虚假价格订购商品。
1.3 跨站Cookie攻击
攻击者为域名“.COM.UK”创建一个特制的Cookie,并搭建一个网站来分发这个Cookie。随后,攻击者在各种公告板上发布该网站的链接,或者通过电子邮件发送链接。当用户点击链接时,会收到攻击者特制的Cookie,这个Cookie可能会覆盖或干扰用户与该国际域名下网站的正常业务。
二、现实世界中的Cookie攻击案例
2.1 Cookie盗窃案例
2005年1月,Froogle™(谷歌公司,加利福尼亚州山景城)的比较购物服务被报告存在Cookie盗窃漏洞。虽然报告的细节并不详细,但似乎是URL中的恶意JavaScript指向了Froogle。用户点击该链接后,JavaScript会将用户重定向到恶意网站,该网站会窃取用户的谷歌Cookie。这个被盗的Cookie显然包含了“谷歌账户”集中登录服务的用户名和密
订阅专栏 解锁全文
扫一扫
1971
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
