Kaj so piškotki brskalnika, zakaj bi jih morali izbrisati in kako lahko to storite? Metode za krajo piškotkov

Kaj so piškotki brskalnika, zakaj bi jih morali izbrisati in kako lahko to storite? Metode za krajo piškotkov

Slika prikazuje, da piškotek vsebuje vrstico wordpress_logged_in_263d663a02379b7624b1028a58464038=admin. Ta vrednost je v piškotku v nešifrirani obliki in jo je mogoče enostavno prestreči s pripomočkom Achilles, vendar v večini primerov v Achillesu lahko vidite le zgoščeno vrednost določenega vnosa. Preden pošljete zahtevo strežniku, lahko poskusite zamenjati to vrstico s katero koli podobno (čeprav v tem primeru ni smisla) - število poskusov ni omejeno. Nato s pošiljanjem te zahteve strežniku s pomočjo gumba Pošlji lahko prejmete odgovor strežnika, namenjenega skrbniku.

V prejšnjem primeru lahko uporabite neposredno ponarejanje ID-ja uporabnika. Poleg tega je lahko ime parametra, katerega zamenjava vrednosti hekerju nudi dodatne priložnosti, naslednje: uporabnik (na primer USER=JDOE), poljuben izraz z nizom ID (na primer USER=JDOE ali SESSIONID= BLAHBLAH), skrbnik (na primer ADMIN= TRUE), seja (na primer SESSION=ACTIVE), košarica (na primer CART=FULL), kot tudi izrazi, kot so TRUE, FALSE, ACTIVE, INACTIVE. Običajno je oblika piškotkov zelo odvisna od aplikacije, za katero se uporabljajo. Vendar pa ti nasveti za iskanje napak v aplikaciji s pomočjo piškotkov veljajo za skoraj vse formate.

Protiukrepi na strani odjemalca proti ekstrakciji piškotkov

Na splošno bi morali biti uporabniki previdni pri spletnih mestih, ki uporabljajo piškotke za preverjanje pristnosti in shranjevanje občutljivih podatkov. Ne smemo pozabiti, da mora spletno mesto, ki za avtentikacijo uporablja piškotke, podpirati vsaj protokol SSL za šifriranje uporabniškega imena in gesla, saj se v odsotnosti tega protokola podatki prenašajo nešifrirani, kar omogoča njihovo prestrezanje. z uporabo najpreprostejšega programsko opremo za ogled podatkov, ki se pošiljajo po omrežju.

Kookaburra Software je razvila orodje za lažjo uporabo piškotkov. Orodje se imenuje CookiePal ( http://www.kburra.com/cpal.html (glejte www.kburra.com)). Ta program je namenjeno opozoritvi uporabnika, ko spletno mesto poskuša namestiti piškotek na napravo, in uporabnik lahko dovoli ali zavrne to dejanje. Podobne funkcije za blokiranje piškotkov so danes na voljo v vseh brskalnikih.

Drugi razlog za redno nameščanje posodobitev spletnega brskalnika je, da se v teh programih nenehno odkrivajo varnostne napake. Tako sta Bennet Haselton in Jamie McCarthy ustvarila skript, ki po kliku na povezavo pridobi piškotke iz odjemalčevega računalnika. Posledično postane na voljo vsa vsebina piškotkov, ki so na uporabnikovi napravi.

Tovrsten kramp je mogoče izvesti tudi z ročajem

Da takšne stvari ne ogrožajo naših osebnih podatkov, to počnem sam in vsem svetujem, da vedno posodabljajo programsko opremo, ki deluje s kodo HTML (e-poštni odjemalci, medijski predvajalniki, brskalniki itd.).

Mnogi ljudje raje preprosto blokirajo piškotke, vendar večina spletnih mest zahteva piškotke za brskanje. Zaključek - če se v bližnji prihodnosti pojavi inovativna tehnologija, ki vam omogoča brez piškotkov, bodo programerji in skrbniki oddahnili, vendar za zdaj piškotki ostajajo okusen zalogaj za hekerja! To je res, saj boljše alternative še ni.

Protiukrepi na strani strežnika

V primeru priporočil za zagotavljanje varnosti strežnika strokovnjaki dajejo en preprost nasvet: ne uporabljajte mehanizma piškotkov, razen če je to nujno potrebno! Posebej je treba biti previden pri uporabi piškotkov, ki ostanejo v uporabnikovem sistemu po koncu komunikacijske seje.

Seveda je pomembno razumeti, da se piškotki lahko uporabljajo za zagotavljanje varnosti spletnih strežnikov za avtentikacijo uporabnikov. Če vaša aplikacija vendarle potrebuje uporabo piškotkov, konfigurirajte mehanizem piškotkov tako, da za vsako sejo uporablja različne kratkotrajne ključe, in poskusite v te datoteke ne vnesti informacij, ki bi jih hekerji lahko uporabili za vdiranje (kot je ADMIN=TRUE). .

Poleg tega lahko za večjo varnost pri delu s piškotki uporabite šifriranje piškotkov, da preprečite ekstrakcijo pomembna informacija. Seveda šifriranje ne reši vseh varnostnih težav pri delu s tehnologijo piškotkov, vendar bo ta metoda preprečila najosnovnejše vdore, opisane zgoraj.

Shranjena gesla lahko prenašate iz enega brskalnika v drugega.

Kje najti pomnjena gesla ?

Vsak sodoben brskalnik shranjuje podatke za prijavo na dva glavna načina.

Zagotovo ste opazili, da ob prvi prijavi na katero koli stran brskalnik prikaže sporočilo, da si zapomnite vneseno geslo. Čeprav se v nekaterih primerih takšno sporočilo ne prikaže, če je uporabnik v nastavitvah onemogočil takšno funkcijo. Vsak brskalnik shranjuje shranjena gesla drugače. Na primer, IE in Edge za te namene uporabljata standardnega Windows Account Managerja.

In tukaj Brskalnik Chrome bo te podatke shranil v svojem upravitelju. Čeprav boste za dostop do gesel še vedno morali vnesti geslo za svoj račun Windows.

V takem upravitelju bodo gesla shranjena ves čas, dokler jih uporabnik ne izbriše. Mimogrede, priljubljenost storitev v oblaku, ki prihajajo z vsemi sodobnimi brskalniki, vedno bolj narašča. Omogočajo vam sinhronizacijo vseh vaših Računi, v internetu, na vseh vaših napravah in ni vam treba posebej vnašati gesel za vsako posamezno spletno mesto.

Uporaba piškotkov

Ste opazili, da je na obrazcu za prijavo na številnih spletnih mestih posebna postavka »Zapomni si me«? Za druge pa je logika nekoliko obrnjena in spletno mesto si vas bo vedno zapomnilo, razen če potrdite polje zraven »računalnik nekoga drugega«.

Toda malo ljudi ve, s čim je to povezano in zakaj morajo potrditi (ali ne potrditi) takšna polja. Nekateri uporabniki so celo zelo zmedeni zaradi prisotnosti dveh možnosti: »zapomni si« in »ne spomni se«.

In vse to je povezano s piškotki (cookie - v prevodu "piškotki"). Shranjujejo poverilnice in to vam omogoča, da ne vnesete gesla za prijavo vsakič, ko obiščete spletno mesto; vsakič, ko boste preusmerjeni na spletno mesto, kjer boste samodejno prijavljeni.

Piškotke lahko najdete v mapi vašega brskalnika, vsak internetni brskalnik pa jih shrani v svoji obliki. Na primer, za brskalnike, izdelane na platformi Chromium, bodo piškotki shranjeni v formatu SQLite različice 3. Piškotke v Chromu najdete po tej poti:

%LocalAppData%\Google\Chrome\Uporabniški podatki\Privzeto

Vsi shranjeni piškotki bodo shranjeni, dokler uporabnik ne izbriše določenega piškotka ali počisti vseh piškotkov. Izbrišejo se lahko tudi po preteku roka veljavnosti, ki ga lahko nastavi spletno mesto. Če vzamemo za primer strani, ki temeljijo na WordPressu, se njihovi piškotki hranijo le dva tedna po zadnji posodobitvi.

Kako upravljati piškotke v Chromu z aplikacijo Cookies?

Pogosto je za prenos gesel dovolj, da uvozite profil brskalnika ali preprosto kopirate samo datoteko piškotka. Vendar se zgodi, da je to iz nekega razloga nemogoče ali preprosto nepraktično. Zato si bomo v tem primeru ogledali delovanje in upravljanje “piškotkov” s pomočjo posebne aplikacije za Chrome. Ta aplikacija se imenuje točno tako – piškotki. Ima precej široke zmožnosti, med njimi pa sta ključni prenos in nalaganje piškotkov na ravni domene.

Sama aplikacija ima vmesnik v angleškem jeziku in delo z njo ni zelo preprosto. Zato si bomo zdaj podrobno ogledali, kako ga upravljati.

Aplikacijski vmesnik

Oglejte si zgornjo sliko, tukaj vidimo naslednje elemente:

  1. Samo shranjevanje piškotkov;
  2. Iskanje domene;
  3. Seznam piškotkov za določeno domeno;
  4. Ločeno izbrani “piškotek”;
  5. Vsebina piškotkov. Tu bodo shranjeni razpršilec gesla, prijava in drugi podatki, potrebni za avtorizacijo;
  6. Datum poteka veljavnosti piškotka (lahko ga spremenite in ročno nastavite druge parametre);

Varno (dešifrirano) shranjevanje

Ta aplikacija vam omogoča ustvarjanje posebnega šifriranega pomnilnika, ki je zelo priporočljiv pri prenosu piškotkov. Ko boste trezor odprli prvič, boste morali ustvariti in določiti novo geslo. Vnesti ga bo treba vsakič, ko dostopate do shrambe.

Prenos piškotkov

Celoten postopek lahko razdelimo na dva glavna koraka.

Prvi korak - prenesite piškotke z glavnega računalnika.


Poskusite ne pozabiti tega gesla, lahko si ga nekje zapišete, koristilo vam bo tudi pri shranjevanju piškotkov na drug računalnik. Datoteko shranimo s pripono .db v katero koli priročno mapo in s poljubnim imenom. Po tem ga prenesite v drug računalnik.

Drugi korak je shranjevanje piškotka na drug računalnik.

Zdaj bomo uvozili piškotke na ciljno napravo. Imeti mora nameščeno tudi aplikacijo Cookie.


Piškotki bodo v novem brskalniku preneseni v glavno shrambo.

Zdaj lahko preverite in obiščete spletno mesto (s katerega so prišli »piškotki«). Vse bi moralo delovati odlično in morali bi imeti preprost dostop do svojega računa brez vnosa gesla. Poleg tega lahko podaljšate obdobje veljavnosti piškotkov, da zagotovite, da se ne izgubijo v primeru daljše neuporabe.

Kako se piškotki prenašajo v druge brskalnike?

Članek ne bi bil povsem uporaben, če ne bi bili omenjeni načini prenosa piškotkov v drugih priljubljenih brskalnikih, saj Chroma ne uporabljajo vsi uporabniki. Ogledali si jih bomo manj podrobno, ker so te metode v mnogih pogledih zelo podobne zgoraj opisanim, v primeru Firefoxa in Opere pa jih osebno nisem preizkusil v praksi. Če veš Najboljši način, ki je veliko bolj priročen ali hitrejši, ga lahko mirno opišete v komentarjih.

Yandex

Tu je vse podobno kot pri Chromu, uporabljamo aplikacijo Cookies in prenašamo piškotke po prej navedenih navodilih.

Opera

Na žalost ta brskalnik ne podpira tukaj opisane aplikacije piškotkov. Toda zanj je bila ustvarjena še ena razširitev s podobno funkcionalnostjo - Uredi ta piškotek. Z njim lahko obiščete želeno spletno mesto in izvozite piškotke. Shranjeni bodo v datoteko JSON, nato pa jih je mogoče enostavno prenesti na drugo napravo.

Glavna prednost te razširitve je, da lahko te piškotke prenesete na različne brskalnike: Opera, Chrome in Yandex. Obstaja pa tudi pomanjkljivost: za vsak piškotek boste morali ustvariti ločeno datoteko, kar ni zelo priročno, če morate hkrati shraniti veliko piškotkov.

Edge

V času pisanja tega članka Microsoftov brskalnik ni imel možnosti prenosa piškotkov.

internet Explorer

Tukaj lahko shranite vse piškotke hkrati v eno besedilno datoteko. To storite tako, da pritisnete tipko “Alt”, nato v meniju “Datoteka” izberete “Uvoz in izvoz”, nato “Izvoz v datoteko” in na koncu “Piškotki”. To datoteko je mogoče urejati z navadno beležnico. V brskalniku bodo na voljo vsi piškotki, po potrebi pa lahko nepotrebne izbrišete. Bonus, ta datoteka lahko naložite v konzolo

– Igor (administrator)

Piškotki so majhne besedilne datoteke, ki vsebujejo informacije, ki jih brskalnik pusti v vašem računalniku. In skoraj vsako spletno mesto pusti enega ali več piškotkov v vašem računalniku. Del dna se uporablja za hitro identifikacijo, ko se vrnete na spletno mesto, del za shranjevanje vmesnih podatkov, kot so nedokončana dejanja, del za shranjevanje nastavitev, kot so zadnje izbrane možnosti itd. Vendar so vsi piškotki shranjeni ločeno za vsak brskalnik, tako da, če jih morate spremeniti ali izbrisati, boste običajno morali odpreti vsak brskalnik posebej in spremeniti piškotke. Poleg tega vam standardni upravitelj piškotkov v skoraj vseh brskalnikih omogoča, da izbrišete vse piškotke spletnega mesta naenkrat ali samo enega naenkrat, kar je izjemno neprijetno, ko morate samo počistiti nepotrebne piškotke spletnega mesta. Obstaja pa veliko preprostejši način – to je program Cookie Spy manager, ki omogoča branje in urejanje piškotkov večine znanih brskalnikov na enem mestu.

Opomba Opomba: Upoštevajte, da je privzeta velikost podatkov, ki se lahko uporabljajo za shranjevanje piškotkov, zelo omejena, kar lahko povzroči težave na nekaterih spletnih mestih.

CookieSpy ima dokaj preprost in intuitiven vmesnik, kot lahko vidite na zgornji sliki. Glavna značilnost programa je, da omogoča ne le branje in urejanje piškotkov znanih brskalnikov, kot so IE, Firefox, Chome, Chomium, Safari, Opera, SeaMonkey, Comodo Dragon, Maxthon in drugi, temveč tudi povezovanje prenosne različice brskalnike in upravljati njihove piškotke (slednje poteka v meniju z nastavitvami). CookieSpy podpira ruski jezik, zato razumevanje nastavitev ne bo težko. Vsi piškotki so prikazani v tabeli, ki podpira razvrščanje po posameznih poljih, zato bo iskanje pravih piškotkov po filtru veliko lažje kot z uporabo standardnih upraviteljev brskalnikov. Druga lepa lastnost programa je, da CookieSpy omogoča brisanje več piškotkov hkrati. Ta funkcionalnost bo še posebej všeč tistim, ki so se že večkrat soočili z dolgočasno nalogo brisanja piškotkov enega za drugim.

CookieSpy lahko prenesete s spletnega mesta razvijalca s to povezavo. Namestitveni program tehta le približno 0,5 MB in ne vsebuje virusov, poroča VirusTotal. Vendar morate vedeti, da namestitveni program med namestitvijo prenese iz interneta približno 6 MB.

Opomba: Pri uporabi bodite previdni in previdni, saj lahko brisanje nekaterih piškotkov povzroči izgubo predhodno vnesenih podatkov na straneh. Na primer, po vstopu na spletno mesto se običajno v piškotke zapišejo posebna zaporedja znakov, ki vam ob ponovnem vstopu na spletno mesto omogočajo takojšnjo identifikacijo. Če izbrišete takšne piškotke, se boste morali znova prijaviti na spletno mesto.

Zdaj veste, kako preprosto je upravljanje piškotkov za vse brskalnike z enega mesta.

Verjetno ste med uporabo interneta že srečali izraz piškotki. Kaj je to? Piškotki so v bistvu datoteka ali več majhnih datotek, ki shranjujejo besedilne informacije. Ustvarijo se, ko obiščete spletna mesta, ki podpirajo to tehnologijo.

Kako delujejo piškotki?

Vse je zelo preprosto. Takoj, ko brskalnik prejme določeno spletno stran s spletnega mesta, se povezava med njim in vašim računalnikom prekine. Če se odločite iti na drugo stran istega vira ali posodobiti trenutno, bo vzpostavljena nova povezava. Na straneh, kjer ni avtorizacije uporabnika, to ne povzroča težav. Če pa je potrebno, brez dodatnih ukrepov vir ne more "zapomniti" ljudi, ki ga obiščejo, in prikazati informacije v skladu s preferencami vsakega od njih. Piškotki pomagajo pri preprečevanju situacije, ko pri premikanju med različnimi stranmi spletnega mesta storitev osebe ne zazna kot novega, nepooblaščenega obiskovalca. Že veste, da so to besedilne informacije. Piškotki pa delujejo zelo preprosto: ko se premaknete z ene strani na drugo, strežnik računalniku pošlje zahtevo za podatke iz piškotkov. Z njimi ugotovi, kdo bo takšno dejanje izvedel, nato pa na podlagi prejetih podatkov zahtevi ugodi ali zavrne. Piškotki se uporabljajo tudi pri izdelavi spletnih trgovin. Zahvaljujoč njim lahko obstaja znana nakupovalna košarica, v kateri so lahko podatki o izbranem, a še ne kupljenem blagu. In prav piškotki omogočajo, da navedeni izdelki ne izginejo iz njega, medtem ko vi listate po drugih delih kataloga in oddajate naročilo.

Kako so piškotki uporabni?

Že poznate več vidikov uporabe piškotkov. Uspelo nam je tudi izvedeti, za kaj gre. Zdaj pa se pogovorimo o tem, kaj je še lahko koristno to tehnologijo in v katerih primerih brez tega ne morete.

Zagotovo veste, da imajo zdaj številne storitve tako imenovane "pridružene programe". Skoraj vsi so dolgoročni in trajajo več mesecev ali celo let. V tem obdobju se informacije shranjujejo na trdem disku, zaradi česar bo partner prejel svoj odstotek, če uporabnik, ki sledi njegovi povezavi, naroči storitev ali izdelek pri prodajalcu.

Pri delu s števci obiskov, sistemi ocenjevanja in glasovanja se uporabljajo tudi piškotki. Kaj to daje v tem primeru? Piškotki so potrebni, da lahko sistem ugotovi, ali je dani uporabnik že sledil povezavi ali pustil svoj glas. To pomeni, da obstaja nekakšno zavarovanje pred umetnimi pribitki. Obstajajo načini, kako takšno zaščito zaobiti, a da običajni uporabniki ta rezultat je več kot dovolj.

Na kaj morate biti previdni?

Pri delu s piškotki je pomembno vedeti, da so lahko v nekaterih primerih na videz neškodljive besedilne informacije nevarne.

Piškotki so eden najpomembnejših potencialnih vzrokov za kršitve spletne zasebnosti. Zakaj se to dogaja? Oglaševalska mesta vedno spremljajo, katere oglase si določen uporabnik ogleda. Piškotki hranijo podatke o tem, katere oglase je oseba že videla in spremljajo, katere teme jo zanimajo. In medtem ko govorimo o piškotkih za posamezno spletno mesto, o uhajanju osebnih podatkov ni treba govoriti. Če pa govorimo o velikih oglaševalske mreže, katerih kode so prisotne na veliki večini virov, postane vse bolj zapleteno. Tako lahko zahvaljujoč sistemu zbere skoraj vse informacije o spletnih aktivnostih osebe. In če na kakšno spletno stran vnese svoje ime in priimek, postane mogoče vsa ta dejanja povezati z resnično osebo.

S piškotki so povezane tudi druge težave. Z njimi se srečujejo predvsem programerji, ki pišejo dokumentno kodo. piškotke za različna spletna mesta. Brez predhodnega branja strokovnih virov lahko dovolite, da se prijave in gesla za spletno mesto shranijo v piškotke. Posledično jih je zelo enostavno zaseči in uporabiti za lastne namene. Vendar skoraj vsa bolj ali manj resna spletna mesta shranjujejo gesla in prijave v bazi podatkov na strežniku. Piškotki se tukaj uporabljajo zgolj kot pogojni identifikator za uporabnika. Poleg tega se izda le za kratek čas. Se pravi, tudi če hekerju uspe pridobiti dostop do piškotkov, tam ne bo našel nobenih dragocenih informacij.

Kako omogočiti, onemogočiti in počistiti piškotke?

Če se odločite onemogočiti piškotke, upoštevajte, da jih boste morali znova omogočiti vsakič, ko obiščete spletno mesto, ki jih potrebuje.

Za Mozilla Firefox. Pojdite na »Orodja«. Nato bi morali najti element »Nastavitve« in v njem - zavihek »Zasebnost«. Nasproti Firefoxa v okviru »Zgodovina« morate na seznamu izbrati »ne spomnim se«.

Za Google Chrome. Odprite "Možnosti" s klikom na gumb v obrazcu. Nato pojdite na "Napredno" -> "Nastavitve vsebine". V oknu, ki se prikaže, morate izbrati piškotek in potrditi polje, ki spletnim mestom prepoveduje shranjevanje podatkov.

Kot lahko vidite, je onemogočanje ali ponovno omogočanje piškotkov v brskalnikih Chrome in Mozilla Firefox, najbolj priljubljenih brskalnikih, zelo preprosto. V drugih brskalnikih se to naredi na enak način z uporabo zavihkov »Varnost«, »Zasebnost« itd.

Če morate počistiti piškotke, je to hitreje in preprosteje storiti brez uporabe standardna sredstva brskalnik in uporabo posebna korist- cČistilo. Pred čiščenjem morate zapreti vse brskalnike, sicer ne boste mogli izbrisati vseh piškotkov.

Ampak na splošno najboljša možnost- namestite enega od programov, ki avtomatizira delo s piškotki. Danes je veliko takšnih aplikacij, tehtajo precej in uporabnike razbremenijo potrebe po nenehnem ročnem spreminjanju parametrov.

Piškotki - podatke v obrazcu besedilna datoteka, ki jih spletno mesto shrani na uporabnikovem računalniku. Vsebuje podatke za preverjanje pristnosti (prijava/geslo, ID, telefonska številka, naslov poštni predal), uporabniške nastavitve, status dostopa. Shranjeno v profilu brskalnika.

Vdiranje v piškotke je kraja (ali "ugrabitev") seje obiskovalca spletnega vira. Zasebne informacije postanejo dostopne ne samo pošiljatelju in prejemniku, temveč tudi tretji osebi - osebi, ki je izvedla prestrezanje.

Orodja in tehnike za vdiranje v piškotke

Računalniški tatovi imajo, tako kot njihovi kolegi v resničnem življenju, poleg spretnosti, spretnosti in znanja seveda tudi svoja orodja - nekakšen arzenal glavnih ključev in sond. Oglejmo si najbolj priljubljene trike, s katerimi hekerji pridobivajo piškotke internetnih uporabnikov.

Vohljači

Posebni programi za spremljanje in analizo omrežnega prometa. Njihovo ime izhaja iz angleškega glagola "sniff" (vohati), ker. dobesedno "vohajo" prenesene pakete med vozlišči.

Toda napadalci uporabljajo vohalnik za prestrezanje podatkov seje, sporočil in drugih zaupnih informacij. Tarče njihovih napadov so predvsem nezaščitena omrežja, kjer se piškotki pošiljajo v odprti HTTP seji, torej praktično niso šifrirani. (V zvezi s tem je najbolj ranljiv javni Wi-Fi.)

Za vgradnjo snifferja v internetni kanal med uporabniškim vozliščem in spletnim strežnikom se uporabljajo naslednje metode:

  • "poslušanje" omrežni vmesniki(vozlišča, stikala);
  • razvejanje in kopiranje prometa;
  • povezovanje z vrzeljo omrežnega kanala;
  • analizo s posebnimi napadi, ki preusmerijo promet žrtve na snifferja (MAC-spoofing, IP-spoofing).

Okrajšava XSS pomeni Cross Site Scripting. Uporablja se za napad na spletna mesta z namenom kraje uporabniških podatkov.

Načelo XSS je naslednje:

  • napadalec vstavi zlonamerno kodo (poseben prikrit skript) na spletno stran spletne strani, forum ali v sporočilo (na primer pri dopisovanju na družbenem omrežju);
  • žrtev obišče okuženo stran in se aktivira nameščeno kodo na vašem računalniku (klikne, sledi povezavi itd.);
  • nato pa izvedena zlonamerna koda »izvleče« uporabnikove zaupne podatke iz brskalnika (zlasti piškotke) in jih pošlje na spletni strežnik napadalca.

Za "vsaditev" programskega mehanizma XSS hekerji uporabljajo vse vrste ranljivosti v spletnih strežnikih, spletnih storitvah in brskalnikih.

Vse ranljivosti XSS so razdeljene v dve vrsti:

  • Pasivno. Napad se izvede z zahtevo po določenem skriptu na spletni strani. Zlonamerno kodo je mogoče vbrizgati v različne oblike na spletni strani (na primer v iskalno vrstico spletnega mesta). Najbolj dovzetni za pasivni XSS so viri, ki ne filtrirajo oznak HTML, ko prispejo podatki;
  • Aktiven. Nahaja se neposredno na strežniku. In aktivirajo se v brskalniku žrtve. Aktivno jih uporabljajo prevaranti v vseh vrstah blogov, klepetov in virov novic.

Hekerji skrbno »zakamuflirajo« svoje skripte XSS, tako da žrtev ne posumi ničesar. Spremenijo končnico datoteke, kodo podajo kot sliko, jih motivirajo za sledenje povezavi in ​​jih privabijo z zanimivimi vsebinami. Kot rezultat: uporabnik osebnega računalnika, ki ne more obvladati lastne radovednosti, lastnoročno (s klikom miške) pošlje sejne piškotke (z prijavo in geslom!) avtorju skripte XSS - računalniškemu zlobnežu.

Zamenjava piškotkov

Vsi piškotki so shranjeni in poslani na spletni strežnik (iz katerega so »prišli«) nespremenjeni - v izvirni obliki - z enakimi vrednostmi, nizi in drugimi podatki. Namerno spreminjanje njihovih parametrov se imenuje zamenjava piškotkov. Z drugimi besedami, pri zamenjavi piškotkov se napadalec pretvarja, da je le želja. Na primer, pri plačilu v spletni trgovini piškotek spremeni znesek plačila navzdol - tako pride do "varčevanja" pri nakupih.

Ukradeni sejni piškotki na družbenem omrežju iz računa nekoga drugega se "vstavijo" v drugo sejo in na drug računalnik. Lastnik ukradenih piškotkov prejme popoln dostop na račun žrtve (korespondenca, vsebina, nastavitve strani), dokler ni na svoji strani.

“Urejanje” piškotkov se izvaja z uporabo:

  • Funkcije »Upravljanje piškotkov ...« v brskalniku Opera;
  • Dodatka za upravljanje piškotkov in naprednega upravitelja piškotkov za FireFox;
  • Pripomočki IECookiesView (samo za internet Explorer);
  • urejevalnik besedil kot so AkelPad, NotePad ali Windows Notepad.

Fizični dostop do podatkov

Zelo preprosto vezje izvedba je sestavljena iz več korakov. Vendar je učinkovito le, če računalnik žrtve z odprto sejo, na primer VKontakte, ostane brez nadzora (in za dolgo časa!):

  1. Vnesite v naslovno vrstico brskalnika funkcija javascript, ki prikazuje vse shranjene piškotke.
  2. Po pritisku na “ENTER” se vsi prikažejo na strani.
  3. Piškotki se kopirajo, shranijo v datoteko in nato prenesejo na bliskovni pogon.
  4. Na drugem računalniku se piškotki zamenjajo v novi seji.
  5. Dostop do računa žrtve je odobren.

Hekerji praviloma uporabljajo zgornja orodja (+ druga) tako v kombinaciji (ker je stopnja zaščite na številnih spletnih virih precej visoka) kot ločeno (ko so uporabniki pretirano naivni).

XSS + vohanje

  1. Ustvari se skript XSS, ki poda naslov spletnega vohljača (bodisi domačega ali posebne storitve).
  2. Zlonamerna koda je shranjena s končnico .img (format slike).
  3. Ta datoteka se nato naloži na spletno stran, klepet ali osebno sporočilo – kjer bo izveden napad.
  4. Pozornost uporabnika pritegne ustvarjena »past« (tu začne veljati socialni inženiring).
  5. Če se past sproži, piškotke iz brskalnika žrtve prestreže sniffer.
  6. Napadalec odpre dnevnike vohljača in pridobi ukradene piškotke.
  7. Nato izvede zamenjavo, da pridobi pravice lastnika računa z uporabo zgornjih orodij.

Zaščita piškotkov pred vdori

  1. Uporabite šifrirano povezavo (z uporabo ustreznih protokolov in varnostnih metod).
  2. Ne odgovarjajte na dvomljive povezave, slike ali mamljive ponudbe, da bi se seznanili z »novo brezplačno programsko opremo«. Še posebej od tujcev.
  3. Uporabljajte le zaupanja vredne spletne vire.
  4. Pooblaščeno sejo zaključite s klikom na gumb »Odjava« (ne samo z zapiranjem zavihka!). Še posebej, če ste se v svoj račun prijavili ne iz osebnega računalnika, ampak na primer iz računalnika v internetni kavarni.
  5. Ne uporabljajte funkcije brskalnika »Shrani geslo«. Shranjeni registracijski podatki znatno povečajo tveganje kraje. Ne bodite leni, ne izgubljajte nekaj minut časa z vnosom gesla in prijavo na začetku vsake seje.
  6. Po brskanju po spletu – obisku družbenih omrežij, forumov, klepetov, spletnih strani – izbrišite shranjene piškotke in počistite predpomnilnik brskalnika.
  7. Redno posodabljajte brskalnike in protivirusno programsko opremo.
  8. Uporabite razširitve brskalnika, ki ščitijo pred napadi XSS (na primer NoScript za FF in Google Chrome).
  9. Občasno na računih.

In kar je najpomembneje, ne izgubite pozornosti in pozornosti med sproščanjem ali delom na internetu!



Priljubljeno v kategoriji:
Kako ustvariti karaoke posnetek v računalniku?
Kako ustvariti karaoke posnetek v računalniku?
prebrati
Za igro je potrebna aplikacija Origin, vendar ni nameščena. FIFA 16 zahteva Origin.
Za igranje je potrebna aplikacija Origin, ni pa nameščena FIFA...
prebrati
Registracija osebne strani na družbenem omrežju Facebook
Registracija osebne strani na družbenem omrežju Facebook
prebrati
Kako zagnati preprosto skeniranje Nmap Nmap
Kako zagnati preprosto skeniranje Nmap Nmap
prebrati

Najnovejši članki
Kako obrniti sliko za nekaj stopinj...
prebrati
Onemogočanje oglaševanja v brskalniku Yandex Kje ...
prebrati
Odpravljanje težav s povezavo Wi-Fi na...
prebrati
Spremenite geslo v profilu Windows 10
prebrati
Navodila za nastavitev brezžičnih usmerjevalnikov...
prebrati
Kako izbrati trdi disk in katerega je bolje kupiti ...
prebrati
Meizu za telebane. Klici in adresar....
prebrati
Prenesite program PDFMaster
prebrati
Vrh