Cookie 可讓網站在您上網時識別您的身份,它們對有回頭客的網站最有益。 如果您曾經訪問過天氣網站,並且它會根據您上次訪問記住您的位置,那麼這就是使用 cookie 的一個示例。
當您登錄 Web 應用程序或站點(例如社交媒體帳戶或零售網站上的個人資料)時,由於臨時會話,您的瀏覽器會知道您已登錄 餅乾 由伺服器設置。 該會話意味著您可以在瀏覽站點並單擊不同頁面時保持登錄狀態。 如果沒有 cookie,您每次在該網站上打開新頁面時都必須重新登錄。
這很方便,是的,但它使您更容易受到 cookie 劫持者的攻擊。 如果黑客獲得了您的會話 ID 的訪問許可權,他們可以訪問您在網站上訪問過的相同位置,並假裝是您。
什麼是Cookie劫持?
Cookie 劫持,也稱為會話劫持,是黑客訪問和竊取您的個人數據的一種方式,他們還可能阻止您訪問某些帳戶。
劫持 cookie 與找出您的密碼一樣強大,有時甚至更強大。 通過 cookie 劫持,黑客可能可以無限制地訪問您的所有資源。 例如,攻擊者可能會竊取您的身份或公司機密數據; 購買物品; 或竊取您的銀行帳戶。
Cookie 劫持是如何工作的?
當惡意軟體程序等待用戶登錄網站時,可能會發生 Cookie 劫持。 然後,惡意軟體竊取會話 cookie 並將其發送給攻擊者。
當攻擊者向用戶發送虛假登錄信息時,通常會發起 cookie 攻擊。 受害者點擊虛假鏈接,這讓攻擊者竊取了 cookie——實際上,攻擊者可以捕獲用戶輸入的任何內容。 攻擊者然後將該 cookie 放入他們的瀏覽器中,並能夠扮演您的角色。
有時,甚至不需要虛假鏈接。 如果用戶在不安全的公共 Wi-Fi 連接上進行會話,黑客可以輕鬆竊取通過連接傳輸的數據。 即使該站點是安全的並且您的用戶名和密碼已加密,這種情況也可能發生。
一旦攻擊者擁有用戶的會話 cookie,他們就可以登錄網站並執行您可以執行的幾乎任何操作,包括更改您的密碼。 這通常是自動化的,因此只需幾秒鐘即可完成。 如果攻擊者隨後對受害者啟用多因素身份驗證 (MFA),他們可能再也無法訪問其帳戶。
火羊
Firesheep 是 cookie 劫持有時如何運作的一個很好的例子。 這個 Firefox 瀏覽器擴展由編碼員 Eric Butler 於 2010 年 10 月創建,它竊聽共享 Wi-Fi 熱點上用戶的瀏覽會話,以密切關注會話 cookie。 當它檢測到一個時,它會攔截它以接管屬於該會話的人的身份。 這種cookie劫持的方法稱為數據包嗅探。
Firesheep 不是惡意的。 它旨在展示當只有登錄過程而不是 cookie 被加密時,從流行網站劫持 cookie 會話是多麼容易。 巴特勒表明,通過基本的 cookie 檢查,訪問同一熱點的黑客可能會冒充另一個人。
更多 Cookie 劫持方法
還有一些其他的 cookie 劫持方法需要注意。 使用蠻力攻擊惡意軟體注入; 如果惡意軟體感染了您的計算機或您運行的網站,它可以監視您並記錄瀏覽器會話。
如何防止 Cookie 劫持
預防此類黑客行為的範圍從利用先進的安全技術到教您的員工(和其他人)了解 cookie 劫持威脅。
MFA保護
不幸的是,高級 MFA 保護和高級 cookie 劫持方法是周期性的。 隨著一個改進,另一個也必須改進。 對於企業和網站所有者來說,實施更多的 MFA 保護並不總是能提高安全性——它只會使 cookie 劫持攻擊更加先進。
這並不意味著根本不使用 MFA——它在某些情況下確實減少了攻擊。 最大的問題是人們仍然點擊那些虛假鏈接,這就是為什麼教育在這裡如此重要(稍後會詳細介紹)。
此外,某些 MFA 形式比其他形式更強。 例如,基於文本的身份驗證代碼較弱,而受時間限制的一次性密碼較強。
教育
每個人都應該知道如何發現虛假鏈接。 通常,網站地址會出現拼寫錯誤,如果您不注意,很容易錯過。 例如,它可能拼寫為「Facebok」而不是「Facebook」。 如果您注意到類似的內容,請不要單擊該鏈接。
此外,不同類型的 MFA 解決方案具有不同的風險。 由企業的 IT 部門來識別這些風險。 再次,教育是關鍵。
更多數字衛生提示
還有一些方法可以限制 cookie 劫持嘗試的風險:
- 檢查 URL:安全網站應使用 HTTPS 來加密所有流量。 查看 URL 以查看它是否以 HTTPS 開頭。
- 僅使用安全連接:避開免費的公共 Wi-Fi,尤其是那些甚至沒有密碼保護的 Wi-Fi。
- 完成後註銷:每當您在網站上完成時,註銷。 如果您在線工作並且每天必須多次訪問相同的站點,請將瀏覽器設置為在您關閉瀏覽器時自動將您註銷。
- 刪除 Cookie:定期清除您的 Cookie,以確保任何剩餘的瀏覽活動數據都消失了。
- 使用 VPN:要獲得更高級的保護,您可以使用虛擬專用網路,它會隱藏您的 IP 地址並通過加密通道重新路由您的流量。
WordPress 用戶需要了解的關於 Cookie 劫持的內容
在線瀏覽時保持安全是一回事。 如果您擁有或運行 WordPress 網站,您還必須保護自己的網站免受 cookie 劫持,更不用說保護您的訪問者了。
如果您的網站成為 cookie 劫持的受害者,攻擊者可能會獲取您和您客戶的登錄憑據。 他們還可以竊取信用卡信息以及其他個人信息。 從本質上講,如果您的網站上存在 cookie 劫持,那麼每個人和一切都處於危險之中。 除 MFA 外,還應優先考慮以下事項。
安裝 SSL 證書
確保您的虛擬主機為您的網站提供 SSL 證書。 當數據在用戶的瀏覽器和 Web 伺服器之間傳輸時,SSL 會對數據進行加密,使其不易被讀取。
使用 HTTPS
您不想訪問沒有 HTTPS 的其他網站,您的網站應該遵循相同的標準。 您不僅需要在站點的登錄頁面上使用 HTTPS,還需要在整個站點上使用 HTTPS。
使用反惡意軟體解決方案
每個 WordPress 網站都應該有一個可靠的安全插件。 反惡意軟體解決方案將使 cookie 竊取軟體遠離。 我們有一份清單 最好的 WordPress 安全插件 為您的網站。
保持您的網站更新
您網站的每個部分都應該保持最新,從 WordPress 安裝本身到您安裝的任何主題和插件。 每當您運行過時的軟體時,它都容易受到攻擊。
Cookie 劫持常見問題
黑客可以用 cookie 做什麼?
很多。 想想你在網站上填寫的任何個人信息——你的用戶名和密碼、你的信用卡信息、你的地址等。一旦黑客獲得了你的會話 cookie 的訪問許可權,他們基本上可以扮演你的角色。 例如,如果您登錄到您的銀行帳戶,他們可以設置轉帳以耗盡您的帳戶並將資金轉移到他們自己的帳戶中,然後他們可以更改密碼,因此您根本無法訪問銀行帳戶.
如果您接受 cookie,您會被劫持嗎?
有時。 當您使用不安全的公共 Wi-Fi(例如在咖啡店或商場)時,您最容易受到攻擊。 Wi-Fi 連接沒有任何安全措施可以阻止黑客訪問他們可以訪問的任何內容。 如果您必須在這種類型的設置中上網,請至少在瀏覽器上使用隱私或隱身模式。
如何清除 cookie?
大多數瀏覽器都有刪除歷史記錄和數據的選項。 您應該能夠刪除所有內容,或者您可以選擇僅刪除您的 cookie 和站點數據——這取決於您。 您也可以將其設置為自動發生。
關於 Cookie 劫持的最終想法
在線保護自己不僅僅是擁有難以猜測的密碼和在您完成一天後刪除您的瀏覽歷史記錄。 您也必須保護您的會話 cookie,儘管大多數人甚至沒有意識到這使他們變得多麼脆弱。 Cookie 存儲了大量有價值的信息——所有這些信息都是您努力以其他方式保護的。
如果您經營任何規模的組織,它肯定應該使用 MFA——但也有必要知道這不是一個萬無一失的選擇。 您需要多層安全保護以防止 cookie 劫持,而 MFA 只是其中一層。 對於 WordPress 網站所有者來說,設置儘可能安全的網站以保護您自己、您的員工和您的訪問者非常重要。
防止 cookie 劫持企圖最重要的是教育。 讓員工、用戶和經理意識到威脅,包括注意什麼和不做什麼,是必不可少的。
想了解更多? 查看 什麼是 Cookie 以及它們如何工作?