关于阅读器的cookie诈骗技能和防备

发表于 2012-10-22 12:11 | 阅读 945

  其实关于cookie盗取/运用方面的基础知识菲菲现已给咱们共享很多了(QQ的skey便是典型)。而这一节教程呢,则重点来探求一下cookie诈骗的实战操作与防备相关的技能。

  不能光说不练哇,首要呢咱们必定需求一款能够自定义修正cookie的东西,这儿菲菲'博客引荐咱们运用火狐阅读器的firecookie插件(在东西 - 附加组件里查找装置即可)。然后按快捷键 F12 翻开Firebug中的cookies办理插件就行了,很便利很省劲的。

  然后咱们登录恣意网站,就以QQ空间为例吧,成功登录后就能够在阅读器的下面看到一切的QQ cookie值了。找到其间的uin和skey的值,右键菜单就能够快速一键修正修正了。需求留意的是uin的格局为:小写字母 o + QQ号码,而skey则为:符号 @ + 9位字符串。如图:
运用火狐插件修正cookie

  既然是cookie诈骗(冒用其他QQ号码的cookie信息),那么必定是要将uin和skey的值修正为别人的,然后改写当时网页(这儿是QQ空间),假如修正无误的话,你就会以别人QQ的登录权限来操作了,也便是说你彻底获得了对方帐号的办理权限,什么看相册访空间删留言随你来!

  说完了“攻”那下面就要来谈一下“防”了。怎么防备自己的QQ cookie被人盗用冒用呢?那就先看一下你的cookie是怎么被坏人“窃”走的吧。常见的有QQ辅佐类的后门软件、XSS进犯、社工法、人工查观点(这个有意思,便是需求你亲自出马了。。)等等。知道了这些常见的能够盗取cookie的办法,防备的办法天然就简略理解了。比方尽量不必安全不明/可疑的QQ辅佐,进步QQ帐号安全的认识,不拜访可疑的链接等等。前面教程现已讲到很屡次,这儿就不胪陈了。

  还有一点,一旦你的QQ被人盗用cookie权限,你从QQ安全中心是看不到登录记载的,从根上说期望腾讯能够进一步加强QQ帐号的安全验证,不要仅仅对用户登录时进行ip认证,主张将cookie密钥和用户的登录IP进行绑定,发现GET恳求反常(异地IP)则验证失利,这就能够从根上处理XSS跨站和cookie诈骗导致的安全问题。【万博manbetx官网网·原创博文,转载请注明,谢谢!】

(原创文章版权一切,如需转载请注明原文链接!)