• / 14
  • 下载费用:5 金币  

30组-Cookie攻击与防范.pptx

关 键 词:
30 COOKIE 攻击 防范
资源描述:
网,—— Cookie攻击与防范,络,信,息,安,全,组 员:樊 志 强 戴 婕 张 叶 涛,网,络,信,息,安,全,Title: xxxxxxxxxxx,,Cookie信息隐患,Cookie欺骗攻击,Cookie隐患防范,什么是Cookie,什么是Cookie,,Cookie,,,,,,Cookie信息隐患,Cookie欺骗攻击,Cookie隐患防范,什么是Cookie,,Cookie是在浏览网站时,网站存储在用户电脑上的一个小文本文件,它记录了用户ID、密码、浏览过的网页、停留的时间等信息。Cookie是由服务器端产生,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器。网站通过读取Cookie得知用户的相关信息,做出相应的动作。Cookie在生成时就会被指定一个Expire值,这就是Cookie的生存周期,在这个周期内Cookie有效,超出周期Cookie就会被清除。Cookie中的内容大多数经过了加密处理,只有服务器的CGI处理程序才知道它们的真正含义。,Cookie是什么?,存储用户在特定网站上的ID和密码,简化登录手续。在线订货系统,应用在“购物车”之类的处理。网站个人化:用户对网页的某些设置将被Cookie记录,如关闭背景音乐。网站跟踪:如广告代理商用来追踪人口统计。,Cookie信息隐患,,,,,,Cookie欺骗攻击,Cookie隐患防范,Cookie是什么,,Cookie信息隐患,如何利用Cookie,,cookie欺骗现在有很多社区网站为了方便网友浏览,都使用了cookie技术以避免多次输入密码(就如the9和vr),所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。,cookie注入在ASP中,request对象获取客户端提交数据常用的是get和post两种方式,同时request对象可以不通过集合来获得数据,即直接使用“request(”name“)”。但它效率低下,容易出错。当我们省略具体的集合名称时,asp是按QueryString(get)、Form(post)、Cookie、Severvariable集合的顺序来搜索的。cookie是保存在客户端的一个文本文件,可以进行修改,这样一来,就可以利用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击。,Cookie欺骗攻击,,,,,,,Cookie信息隐患,Cookie欺骗攻击,Cookie隐患防范,什么是Cookie,ClassID欺骗,因为LvBBS论坛程序中的Public_Cls.asp文件中有这这样的代码:If MemberPass=Lcase(Session(CacheName&”UserData”)(1)) or MemberNmae=Session(CacheName&”UserData”)(0)) Then……. 这句代码没有进行严格的检查,从而导致黑客可以利用伪造的Cookie信息进行欺骗,从而得到其他人的权限,具体步骤如下:,步骤一:首先在Google中搜索“版本:LvBBS Ver2.2”,登陆后先注册,此时的cookie如下:course%2Ezjnu%2Ecn%2Fmzyl%2Fbbs%2F=isHidden=0 ASPSESSIONIDSCBTDCTT=PECFLHFDCEJHINMBANGDIPEF,步骤二:用桂林老兵欺骗软件中的工具【设自定义cookie】按钮,将ClassID修改为1,UserNam改为版主的名字,即可拥有版主权限。,Cookie与数据库,,,,,,Cookie信息隐患,Cookie欺骗攻击,Cookie隐患防范,什么是Cookie,,,验证码对比,,验证用户登录信息,在整个过程中,程序并没有判断SMT_password字段的值,所以密码并不重要,所以只要在cookie&Inject工具中把cookie的字段改成从scadata.mdb文件中管理员对应的字段值SMT_id, SMT_nick, SMT_flag等,就可以进入后台管理页面了。,Cookie隐患防范,,,,,,,Cookie信息隐患,Cookie欺骗攻击,Cookie隐患防范,什么是Cookie,Cookie欺骗防范措施,(1)定期清理Cookie文件,删除Cookie文件后网站无法查找个人信息所以要记住自己的账号密码呦~(2)更改Cookie文件的保存位置,,,,,,Cookie信息隐患,Cookie欺骗攻击,Cookie隐患防范,什么是Cookie,步骤1:在360浏览器中选择【工具】→【Internet选项】,打开对话框,如图所示。,步骤2:单击“浏览历史记录”的【删除】,如图所示,在弹出的对话框中“Cookie和网站数据”选项前打勾,然后点击【删除】按钮,即可删除本机中的Cookie文件。,,步骤三:也可借助相应安全软件实现删除Cookie文件,如360安全卫士、瑞星卡卡上网安全助手、Windows优化大师等。,,,,,,,,Cookie信息隐患,Cookie欺骗攻击,Cookie隐患防范,什么是Cookie,步骤1:在360浏览器中选择【工具】→【Internet选项】,在弹出的对话框中单击【设置】按钮。,,步骤2:在【设置】对话框中单击【移动文件夹】按钮,在其中设置相应的保存位置,即可成功更改Cookie文件的保存位置。,,,,,,,,,,,,谢,谢,,,,,,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:30组-Cookie攻击与防范.pptx
链接地址:http://www.gold-doc.com/p-256553.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开