網站設計的安全性- 什麼是Cookie劫持以及如何預防?
Cookie可讓網站在您上網時識別您的身份,它們對有回頭客的網站最有益。如果您曾經訪問過天氣網站,並且它會根據您上次訪問記住您的位置,那麼這就是使用cookie的一個示例。
當您登入Web應用程式或站點(例如社群媒體帳戶或零售網站上的個人資料)時,由於伺服器設定了臨時會話cookie,您的瀏覽器會知道您已登入。該會話意味著您可以在瀏覽站點並單擊不同頁面時保持登入狀態。如果沒有cookie,您每次在該網站上打開新頁面時都必須重新登入。
這很方便,是的,但它使您更容易受到cookie劫持者的攻擊。如果黑客獲得了您的會話ID的訪問權限,他們可以訪問您在網站上訪問過的相同位置,並假裝是您。
什麼是Cookie劫持?
Cookie劫持,也稱為會話劫持,是黑客訪問和竊取您的個人數據的一種方式,他們還可能阻止您訪問某些帳戶。
劫持cookie與找出您的密碼一樣強大,有時甚至更強大。通過cookie劫持,黑客可能可以無限制地訪問您的所有資源。例如,攻擊者可能會竊取您的身份或公司機密數據;購買物品;或竊取您的銀行帳戶。
Cookie 劫持是如何工作的?
當惡意軟體程式等待用戶登入網站時,可能會發生Cookie劫持。然後,惡意軟體竊取會話 cookie 並將其發送給攻擊者。
當攻擊者向用戶發送虛假登入訊息時,通常會發起cookie攻擊。受害者點擊虛假連結,這讓攻擊者竊取了cookie——實際上,攻擊者可以捕獲用戶輸入的任何內容。攻擊者然後將該cookie放入他們的瀏覽器中,並能夠扮演您的角色。
有時,甚至不需要虛假連結。如果用戶在不安全的公共Wi-Fi連接上進行會話,黑客可以輕鬆竊取通過連接傳輸的數據。即使該站點是安全的並且您的用戶名和密碼已加密,這種情況也可能發生。
一旦攻擊者擁有用戶的會話cookie,他們就可以登入網站並執行您可以執行的幾乎任何操作,包括更改您的密碼。這通常是自動化的,因此只需幾秒鐘即可完成。如果攻擊者隨後對受害者啟用多因素身份驗證 (MFA),他們可能再也無法訪問其帳戶。
Firesheep
Firesheep是cookie劫持有時如何運作的一個很好的例子。這個Firefox瀏覽器擴展由編碼員Eric Butler於 2010 年10月建立,它竊聽共享Wi-Fi熱點上用戶的瀏覽會話,以密切關注會話cookie。當它檢測到一個時,它會攔截它以接管屬於該會話的人的身份。這種cookie劫持的方法稱為數據包嗅探。
Firesheep不是惡意的。它旨在展示當只有登入過程而不是cookie被加密時,從流行網站劫持cookie會話是多麼容易。巴特勒表明,通過基本的cookie檢查,訪問同一熱點的黑客可能會冒充另一個人。
更多Cookie劫持方法
還有一些其他的cookie劫持方法需要注意。使用蠻力攻擊惡意軟體注入;如果惡意軟體感染了您的計算機或您運行的網站,它可以監視您並記錄瀏覽器會話。
如何防止Cookie劫持
預防此類黑客行為的範圍從利用先進的安全技術到教您的員工(和其他人)了解cookie劫持威脅。
MFA保護
不幸的是,高級MFA保護和高級cookie劫持方法是周期性的。隨著一個改進,另一個也必須改進。對於企業和網站所有者來說,實施更多的MFA保護並不總是能提高安全性——它只會使cookie劫持攻擊更加先進。
這並不意味著根本不使用 MFA——它在某些情況下確實減少了攻擊。最大的問題是人們仍然點擊那些虛假連結,這就是為什麼教育在這裡如此重要(稍後會詳細介紹)。
此外,某些MFA 形式比其他形式更強。例如,基於文本的身份驗證代碼較弱,而受時間限制的一次性密碼較強。
教育
每個人都應該知道如何發現虛假連結。通常,網站地址會出現拼寫錯誤,如果您不注意,很容易錯過。例如,它可能拼寫為「Facebok」而不是「Facebook」。如果您注意到類似的內容,請不要單擊該連結。
此外,不同類型的MFA 解決方案具有不同的風險。由企業的IT部門來識別這些風險。再次,教育是關鍵。
更多數字衛生提示
還有一些方法可以限制cookie劫持嘗試的風險:
檢查URL:安全網站應使用HTTPS來加密所有流量。查看URL以查看它是否以HTTPS開頭。
僅使用安全連接:避開免費的公共Wi-Fi,尤其是那些甚至沒有密碼保護的Wi-Fi。
完成後註銷:每當您在網站上完成時,註銷。如果您線上工作並且每天必須多次訪問相同的站點,請將瀏覽器設定為在您關閉瀏覽器時自動將您註銷。
刪除Cookies:定期清除您的cookie以確保任何剩餘的瀏覽活動數據都消失了。
使用VPN:為了獲得更高級的保護,您可以使用虛擬專用網絡,它會隱藏您的IP 地址並通過加密通道重新路由您的流量。
WordPress用戶需要了解的關於Cookie劫持的內容
線上瀏覽時保持安全是一回事。如果您擁有或運行WordPress 網站,您還必須保護自己的網站免受cookie劫持,更不用說保護您的訪問者了。
如果您的網站成為cookie劫持的受害者,攻擊者可能會獲取您和您客戶的登入憑據。他們還可以竊取信用卡訊息以及其他個人訊息。從本質上講,如果您的網站上存在cookie劫持,那麼每個人和一切都處於危險之中。除MFA外,還應優先考慮以下事項。
安裝SSL證書
確保您的虛擬主機為您的網站提供SSL證書。當數據在用戶的瀏覽器和Web 伺服器之間傳輸時,SSL會對數據進行加密,使其不易被讀取。
使用HTTPS
您不想訪問沒有HTTPS的其他網站,您的網站應該遵循相同的標準。您不僅需要在站點的登入頁面上使用HTTPS,還需要在整個站點上使用HTTPS。
使用反惡意軟體解決方案
每個WordPress 網站都應該有一個可靠的安全插件。反惡意軟體解決方案將使cookie 竊取軟體遠離。我們有一份適合您網站的最佳WordPress 安全插件列表。
保持您的網站更新
您網站的每個部分都應該保持最新,從WordPress 安裝本身到您安裝的任何主題和插件。每當您運行過時的軟體時,它都容易受到攻擊。
Cookie劫持常見問題
黑客可以用cookie 做什麼?
很多。想想您在網站上填寫的任何個人訊息——您的用戶名和密碼、您的信用卡訊息、您的地址等。一旦黑客獲得了您的會話cookie 的訪問權限,他們基本上可以扮演您的角色。例如,如果您登入到您的銀行帳戶,他們可以設定轉帳以清空您的帳戶並將資金轉移到他們自己的帳戶中,然後他們可以更改密碼,因此您根本無法訪問銀行帳戶.
如果您接受cookie,您會被劫持嗎?
有時。當您使用不安全的公共 Wi-Fi(例如在咖啡店或商場)時,您最容易受到攻擊。Wi-Fi 連接沒有任何安全措施可以阻止黑客訪問他們可以訪問的任何內容。如果您必須在這種類型的設定中上網,請至少在瀏覽器上使用隱私或隱身模式。
如何清除cookie?
大多數瀏覽器都有刪除歷史記錄和數據的選項。您應該能夠刪除所有內容,或者您可以選擇僅刪除您的cookie 和站點數據——這取決於您。您也可以將其設定為自動發生。
關於Cookie 劫持的最終想法
線上保護自己不僅僅是擁有難以猜測的密碼和在您完成一天後刪除您的瀏覽歷史記錄。您也必須保護您的會話cookie,儘管大多數人甚至沒有意識到這使他們變得多麼脆弱。Cookie 存儲了大量有價值的訊息——所有這些訊息都是您努力以其他方式保護的。
如果您經營任何規模的組織,它肯定應該使用 MFA——但也有必要知道這不是一個萬無一失的選擇。您需要多層安全保護以防止cookie 劫持,而MFA 只是其中一層。對於WordPress 網站所有者來說,設定儘可能安全的網站以保護您自己、您的員工和您的訪問者非常重要。
防止cookie劫持企圖最重要的是教育。讓員工、用戶和經理意識到威脅,包括注意什麼和不做什麼,是必不可少的。