Cookie 允许网站在您上网时识别您网络 您的地位,他们对有回头客的网站最有利。如果您曾经访问过天气网站并且它根据您上次访问记住了您的位置,这就是使用 cookie 的示例。
当您登录网络应用程序或网站(例如社交媒体帐户或零售网站上的个人资料)时,由于服务器设置的临时会话 cookie,您的浏览器会知道您已登录。会话意味着您可以在浏览网站和点击不同页面时保持登录状态。如果没有 cookie,您每次打开本网站的新页面时都必须重新登录。
没错,这很方便,但它使您更容易受到 cookie 劫持者的攻击。如果黑客获得了对您的会话 ID 的访问权限,他们就可以访问您在网站上访问过的相同位置并假装是您。
什么是 Cookie 劫持?
Cookie 劫持,也称为会话劫持,是黑客访问和窃取您的个人数据的一种方式,他们还可能阻止您访问某些帐户。
劫持 cookie 的威力与找出您的密码一样强大,有时甚至更强大。通过 cookie 劫持,黑客可以不受限制地访问您的所有资源。例如,攻击者可能窃取您的身份或公司机密数据;购买物品;或窃取您的银行帐户。
cookie 劫持是如何进行的?
当恶意程序等待用户登录网站时,可能会发生 Cookie 劫持。然后恶意软件窃取会话 cookie 并将其发送给攻击者。
Cookie 攻击通常是在攻击者向用户发送虚假登录信息时发起的。受害者单击虚假链接,攻击者可以窃取 cookie——实际上,攻击者可以捕获用户输入的任何内容。然后,攻击者可以将该 cookie 放入他们的浏览器中并能够冒充您。
有时甚至不需要虚假链接。如果用户在不安全的公共 Wi-Fi 连接上进行会话,黑客可以轻松窃取通过连接传输的数据。即使站点是安全的并且您的用户名和密码已加密,这种情况也可能发生。
一旦攻击者获得了用户的会话 cookie,他们就可以登录该站点并执行几乎所有您能做的事情,包括更改您的密码。这通常是自动的,因此只需几秒钟即可完成。如果攻击者随后对受害者启用多因素身份验证 (MFA),他们可能无法再访问自己的帐户。
Firesheep
Firesheep 是 cookie 劫持有时如何运作的一个很好的例子。由程序员 Eric Butler 于 2010 年 10 月创建,这个 Firefox 浏览器扩展程序会窃听用户在共享 Wi-Fi 热点上的浏览会话,以密切关注会话 cookie。当它检测到一个时,它会拦截它以接管属于该会话的人的身份。这种 cookie 劫持方法称为数据包嗅探。
Firesheep 没有恶意。它的目的是展示当只有登录过程而不是 cookie 被加密时,从流行网站劫持 cookie 会话是多么容易。巴特勒表明,通过基本的 cookie 检查,访问同一热点的黑客可能会冒充另一个人。
更多Cookie劫持方法
还有一些其他的cookie劫持方法需要注意。使用暴力攻击恶意软件注入;如果恶意软件感染了您的计算机或您运行的网站,它可以监视您并记录您的浏览器会话。
如何防止 Cookie 劫持
防止此类黑客攻击的范围从利用先进的安全技术到对您的员工(和其他人)进行有关 Cookie 劫持威胁的教育。
MFA 保护
不幸的是,高级 MFA 保护和高级 cookie 劫持方法是周期性的。随着一个改进,另一个也必须改进。对于企业和网站所有者而言,实施更多的 MFA 保护并不总能提高安全性——它只会让 cookie 劫持攻击更加高级。
这并不意味着完全不使用 MFA——它确实在某些情况下减少了攻击。最大的问题是人们仍然会点击那些虚假链接,这就是教育在这里如此重要的原因(稍后会详细介绍)。
此外,某些形式的 MFA 比其他形式更强大。例如,基于文本的身份验证代码很弱,而限时的一次性密码则很强。
教育
每个人都应该知道如何发现虚假链接。很多时候,网站地址拼写错误,如果您不注意,很容易错过。例如,它可能拼写为“Facebook”而不是“Facebook”。如果您注意到类似的情况,请不要单击该链接。
此外,不同类型的MFA解决方案具有不同的风险。由企业的 IT 部门来识别这些风险。同样,教育是关键。
更多数字卫生提示
还有一些方法可以限制 cookie 劫持尝试的风险:
- 检查 URL:安全站点应使用 HTTPS 来加密所有流量。检查 URL 以查看它是否以 HTTPS 开头。
- 只使用安全连接:避免使用免费的公共 Wi-Fi,尤其是那些甚至没有密码保护的。
- 完成后注销:在网站上完成后注销。如果您在线工作并且每天必须多次访问相同的站点,请将您的浏览器设置为在您关闭它时自动注销。
- 删除 Cookie:定期清除您的 cookie 以确保所有剩余的浏览活动数据都消失了。
- 使用 VPN:为了获得更高级别的保护,您可以使用虚拟专用网络,它可以隐藏您的 IP 地址并通过加密隧道重新路由您的流量。
WordPress 用户需要了解的有关 Cookie 劫持的知识
在线浏览时保持安全是一回事。如果您拥有或运营 WordPress 网站,您还必须保护您的网站免受 cookie 劫持,更不用说保护您的访问者了。
如果您的网站成为 cookie 劫持的受害者,攻击者可能会访问您和您客户的登录凭据。他们还可以窃取信用卡信息以及其他个人信息。从本质上讲,如果您的网站上存在 cookie 劫持,那么每个人和每件事都将面临风险。除 MFA 外,还应优先考虑以下内容。
安装 SSL 证书
确保您的虚拟主机为您的网站提供 SSL 证书。 SSL 在数据在用户浏览器和网络服务器之间传输时对数据进行加密,使其不易被读取。
使用HTTPS
您不想访问其他没有HTTPS 的网站,您的网站应该遵循相同的标准。您不仅需要在站点的登录页面上使用 HTTPS,还需要在整个站点中使用 HTTPS。
使用反恶意软件解决方案
每个 WordPress 站点都应该有一个可靠的安全插件。反恶意软件解决方案将使 cookie 窃取软件远离。我们为您的网站列出了最好的 WordPress 安全插件。
保持您的网站更新
您网站的每个部分都应该保持最新,从 WordPress 安装本身到您安装的任何主题和插件。任何时候运行过时的软件,它都容易受到攻击。
Cookie 劫持常见问题解答
黑客可以用 Cookie 做什么?
很多。想一想您在网站上填写的任何个人信息——您的用户名和密码、您的信用卡信息、您的地址等。一旦黑客获得了您的会话 cookie 的访问权限,他们基本上就可以承担您的角色。例如,如果您登录到您的银行账户,他们可以设置一个转账来抽空您的账户并将钱转入他们自己的账户,然后他们可以更改密码,这样您就根本无法访问该银行账户。 如果你接受cookies,你会被劫持吗?
有时。当您使用不安全的公共 Wi-Fi 时,例如在咖啡店或购物中心,您最容易受到攻击。 Wi-Fi 连接没有任何安全措施来阻止黑客访问他们可以访问的任何内容。如果您必须在这种类型的设置中上网,至少在您的浏览器上使用隐私或隐身模式。
如何清除 cookie?
大多数浏览器都有删除历史记录和数据的选项。您应该能够删除所有内容,或者您可以选择只删除您的 cookie 和网站数据 - 这取决于您。您也可以将其设置为自动发生。
关于 Cookie 劫持的最终想法
在线保护自己不仅仅是拥有难以猜测的密码和在一天结束后删除浏览历史记录。您还必须保护您的会话 cookie,尽管大多数人甚至没有意识到这会使他们变得多么脆弱。 Cookies 存储了大量有价值的信息——您努力通过其他方式保护所有这些信息。
如果您经营任何规模的组织,它肯定应该使用 MFA——但也值得知道这不是一个万无一失的选择。您需要多层安全措施来防止 cookie 劫持,而 MFA 只是其中之一。对于 WordPress 网站所有者来说,建立最安全的网站以保护您自己、您的员工和您的访问者是很重要的。
防止 cookie 劫持尝试最重要的是教育。让员工、用户和管理人员了解威胁,包括注意什么和不该做什么,这一点至关重要。
想了解更多?请参阅什么是 cookie 及其工作原理?
出处
