重放攻击监听http数据传输的截获的敏感数据大多数便是存放在Cookie中的数据。在web安全中的通过其他办法(非网络监听)盗取Cookie与提交Cookie也是一种重放攻击。以是可以看出\公众Cookie\"大众这个“东东”彷佛很不屈安。
那么本日就以本篇文章详细给大家先容一下Cookie是什么?Cookie基本事理与实现?Cookie到底存在哪些安全隐患,我们该如何防御,有没有其他技能替代方案?
官方定义:Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(常日经由加密)。
普通理解:Cookie便是做事器端为了保存某些数据,或实现某些必要的功能,当用户访问做事器时,从做事器回传到客户真个一个或多个数据,这些数据因设置的保存韶光不同,故保存在浏览器内存中或写入用户PC的硬盘当中,当下次用户再次访问做事器端时,则带着这些文件去与做事器端进行联系,这些数据或写入硬盘当中的数据文件便是Cookie。
详细简介:
众所周知,Web协议(也便是HTTP)是一个无状态的协议(HTTP1.0)。一个Web运用由很多个Web页面组成,每个页面都有唯一的URL来定义。用户在浏览器的地址栏输入页面的URL,浏览器就会向Web Server去发送要求。如下图,浏览器向Web做事器发送了两个要求,申请了两个页面。这两个页面的要求是分别利用了两个单独的HTTP连接。所谓无状态的协议也便是表现在这里,浏览器和Web做事器会在第一个要求完成往后关闭连接通道,在第二个要求的时候重新建立连接。Web做事器并不区分哪个要求来自哪个客户端,对所有的要求都等量齐观,都是单独的连接。这样的办法大大差异于传统的(Client/Server)C/S构造,在那样的运用中,客户端和做事器端会建立一个永劫光的专用的连接通道。正是由于有了无状态的特性,每个连接资源能够很快被其他客户端所重用,一台Web做事器才能够同时做事于成千上万的客户端。
但是我们常日的运用是有状态的。先不用提不同运用之间的SSO,在同一个运用中也须要保存用户的登录身份信息。例如用户在访问页面1的时候进行了登录,但是刚才也提到,客户真个每个要求都是单独的连接,当客户再次访问页面2的时候,如何才能见告Web做事器,客户刚才已经登录过了呢?浏览器和做事器之间有约定:通过利用cookie技能来掩护运用的状态。Cookie是可以被Web做事器设置的字符串,并且可以保存在浏览器中。如下图所示,当浏览器访问了页面1时,web做事器设置了一个cookie,并将这个cookie和页面1一起返回给浏览器,浏览器接到cookie之后,就会保存起来,在它访问页面2的时候会把这个cookie也带上,Web做事器接到要求时也能读出cookie的值,根据cookie值的内容就可以判断和规复一些用户的信息状态。
Cookie文件记录了用户的有关信息,如身份识别号码ID、密码、浏览过的网页、勾留的韶光、用户在Web站点购物的办法或用户访问该站点的次数等,当用户再次链接Web做事器时,浏览器读取Cookie信息并通报给Web站点。
Cookie文件信息片断以\"大众名/值\"大众对(name-vaiuepairs)的形式储存,一个\"大众名/值\"大众对仅仅是一条命名的数据。例如,访问 www.goto.com网站,则该站点可能会在客户端电脑上产生一个包含以下内容的Cookie文件:UserIDA9A3BECE0563982Dwww.goto.com/。goto.com在电脑上存入了一个单一的\公众名/值\"大众对,个中的\"大众名\"大众是UserID,\"大众值\"大众是A9A3BECE0563982D。
Cookie文件的存放位置与操作系统和浏览器密切干系,这些文件在Windows机器里叫做Cookie文件,在Macintosh机器里叫做MagicCookie文件。对Windows和IE浏览器而言,Cookies文件的存放位置为:
Cookie的紧张功能是实现用户个人信息的记录,它最根本的用场是帮助Web站点保存有关访问者的信息。更概括地说,Cookie是一种保持Web运用程序连续性(即实行状态管理)的方法。
HTTP协议是一种无状态、无连接的协议,不能在做事器上保持一次会话的连续状态信息。随着WWW的不断发展,HTTP的无状态性不能知足某些运用的需求,给Web做事器和客户真个操作带来各类不便。在此背景下,提出HTTP的状态管理机制———Cookie机制,它是对HTTP协议的一种补充,以保持做事器和客户真个连续状态。
二、Cookie技能的事理以实例阐述技能事理:
假设一个用户在进行网上购物
1) 假定用户第一次访问这个购物网站,用户浏览器这边有一个Cookie文件,里面只有一行信息beay:8734,但是没有任何与这个购物信息有关的信息
2) 用户开始利用常规的http要求来访问,做事器收到访问往后,创造这是一个新用户,于是为这个用户创建一个ID为1678,并把这个信息存储在后真个数据库中
3) 做事器收到要求后向浏览器发回相应,但是在相应里面多了一行信息,便是Set-cookie: 1678,客户浏览器收到相应信息后,把新增的Cookie信息添加到自己的Cookie文件中,意思是:我在这个网站中的ID是1678
4) 当用户第二次再访问这个网站的时候,要求信息中就会带上自己的Cookie信息,做事器收到往后,通过Cookie信息创造是之前访问过的用户,于是做出Cookie-specific action,将http相应信息发回用户浏览器
5) 一周往后再次访问,依然会重复4的步骤
三、常见的Cookie 种类1、Session cookie
也称为内存cookie或者瞬时cookie,只存在用户浏览站点时的内存中。当用户关闭浏览器时,浏览器常日会删除session cookies。不像其他cookies,session cookies没有分配过期韶光,作为session cookie浏览器会自己管理它。
2、持久性cookie
不像session cookie在浏览器关闭时就会过期那样,持久性cookie是到一个特定日期过期或者过来一段韶光过期。这就意味着,在cookie的全体生命周期(创建cookie时可以指定其生命周期),每次用户访问cookie所属站点时,或者每次用户在其他站点访问cookie所属站点的资源(例如广告)时,cookie所携带的信息都会被发送到做事端。
由于这个缘故原由,持久性cookie有时被称为追踪cookie,由于广告系统可以利用它记录用户在一段韶光内的网页浏览习气信息。当然,利用它也有一些\"大众正当\公众情由,例如保持用户的登录状态,避免每次访问的再次登录。
如果过期韶光到了,或者用户手动删除了,这种cookie会被重置。
3、安全cookie
安全cookie只能通过安全连接传输(例如,https)。不能通过非安全连接传输(例如,http)。这样就不太可能被盗取。在cookie中设置一个Secure标志就可以创建安全cookie。
4、HttpOnly cookie
HttpOnly cookie不能通过客户端api获取到。这种限定减少了通过(XSS)盗取cookie的风险。然而这种cookie也会受到跨站追踪和跨站要求假造攻击。在cookie中添加HttpOnly可以创建这种cookie。
5、SameSite cookie
chrome51版本引入的一种新类型cookie,只有要乞降站点是同源的,才会发送cookie到做事器。这种限定可以缓解攻击,例如跨站要求假造攻击。在cookie中设置SameSite标识可以创建这种类型的cookie。
6、第三方cookie
正常情形下,cookie的域属性和浏览器地址栏里显示的域是相同的。这种cookie称为第一方cookie。然而第三方cookie不属于浏览器地址栏显示的域中。这种cookie常日涌如今web页面有外部站点内容时的情形中,例如广告系统。这就供应了一个潜在的能力来追踪用户的浏览历史,广告系统常日会利用这个来给每个用户推举干系的广告信息。
例如,假设用户访问了www.example.com,这个站点包含ad.foxytracking.com的广告,当这个广告加载时,会设置一个属于广告所在域(ad.foxytracking.com)的cookie。然后用户访问另一个站点,www.foo.com,这个站点也包含来自ad.foxytracking.com的广告,这个广告也会设置一个属于ad.foxytracking.com域的cookie。终极,所有这些cookie会发送给广告主,当用户加载他们的广告或者访问他们的网站时。然后广告主就可以利用这些cookie统计出用户的浏览记录,当然浏览记录里面的站点必须要包含广告主的广告。也便是广告主可以利用这些cookie知道你访问了那些包含他们广告的站点。
7、Supercookie
supercookie是来自于顶级域名(例如.com)或者有公共后缀(例如.co.uk)的cookie。普通cookie是来自于一个特定域名,例如example.com。
supercookie是一个潜在的安全威胁,以是常常被浏览器默认禁止的。如果浏览器不禁止,掌握恶意站点的攻击者可以设置一个supercookie,滋扰或者伪装合法的用户向其他共享顶级域名或者公共后缀的站点的要求。例如,来自.com的supercookie可以恶意影响example.com的要求,即便这个cookie并不是来自于example.com。可以用来假造登录或者修正用户信息。
帮助降落supercookie带来的风险。公共后缀是一个跨厂商的倡议,目标是为了供应一个准确的最新的域名后缀列表。旧版本浏览器可能没有一份最新的列表,会随意马虎受到来自某些域的supercookie的威胁。
\"大众supercookie\公众的术语有时会被用来描述某些不通过HTTP cookie的追踪技能。两个这样的\"大众supercookie\公众机制在2011年的微软站点被创造了:机器标识码cookie和ETag cookie,由于媒体的关注,微软禁止了这样的cookie。
8、Zombie cookie
zombie cookie是指被删除后可以自动再创建的cookie。通过把cookie内容存储在多个地方实现,例如flash的,H5的,其他客户端乃至做事端位置。当缺失落的cookie被检测到,就会利用存储在这些位置的数据重新创建cookie。
四、Cookie的安全性隐患Cookie的目的是为用户带来方便,为网站带来增值,一样平常情形下不会造成严重的安全威胁。Cookie文件不能作为代码实行,也不会传送病毒,它为用户所专有并只能由创建它的做事器来读取。其余,浏览器一样平常只许可存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限定为4KB,因此,Cookie不会塞满硬盘,更不会被用作\公众谢绝做事\"大众攻击手段。
但是,Cookie作为用户身份的替代,其安全性有时决定了全体系统的安全性,Cookie的安全性问题不容忽略。
1、Cookie欺骗
Cookie记录了用户的帐户ID、密码之类的信息,常日利用MD5方法加密后在网上通报。经由加密处理后的信息纵然被网络上一些别有用心的人截获也看不懂。然而,现在存在的问题是,截获Cookie的人不须要知道这些字符串的含义,只要把别人的Cookie向做事器提交,并且能够通过验证,就可以伪装受害人的身份上岸网站,这种行为叫做Cookie欺骗。
造孽用户通过Cookie欺骗得到相应的加密密钥,从而访问合法用户的所有个性化信息,包括用户的E-mail乃至帐户信息,对个人信息造成严重危害。
2、Cookie截获
Cookie以纯文本的形式在浏览器和做事器之间传送,很随意马虎被他人造孽截获和利用。任何可以截获Web通信的人都可以读取Cookie。
Cookie被造孽用户截获后,然后在其有效期内重放,则此造孽用户将享有合法用户的权柄。例如,对付在线阅读,造孽用户可以不支付用度即可享受在线阅读电子杂志。
Cookie截获的手段有以下一些。
(1) 用编程手段截获Cookie。
下面剖析其手腕,该方法分两步完成:
步骤一:定位须要网络Cookie的网站,对其进行剖析并布局URL。 首先打开要网络Cookie的网站,这里假设是http://www.XXX.net,上岸网站输入用户名\"大众<Al>\公众(不含引号),对数据进行剖析抓包,得到如下代码:
将个中\公众<Al>\"大众改换为:
\"大众<script>alert(document.cookie)</script>\公众再试,如果实行成功,就开始布局URL:
个中http://www.cbifamily.org/cbi.php是用户能够掌握的某台主机上的一个脚本。须要把稳的是\"大众%2b\"大众为符号\"大众+\"大众的URL编码,由于\公众+\"大众将被作为空格处理。该URL即可在论坛中发布,诱使别人点击。
步骤二:体例网络Cookie的PHP脚本,并将其放到用户可以掌握的网站上,当不知情者点击告终构的URL后可以实行该PHP代码。该脚本的详细内容如下:
将这段代码放到网络里,则能够网络所有人的Cookie。如果一个论坛许可HTML代码或者许可利用Flash标签,就可以利用这些技能网络Cookie的代码放到论坛里,然后给帖子取一个吸引人的主题,写上有趣的内容,很快就可网络到大量的Cookie。在论坛上,有许多人的密码便是被这种方法盗走的。
(2) 利用Flash的代码隐患截获Cookie。
Flash中有一个getURL()函数。Flash可以利用这个函数自动打开指定的网页,它可能把用户引向一个包含恶意代码的网站。例如,当用户在电脑上欣赏Flash动画时,动画帧里的代码可能已经悄悄地连上网,并打开了一个极小的包含有分外代码的页面,这个页面可以网络Cookie、也可以做一些其他有害的事情。网站无法禁止Flash的这种作为,由于这是Flash文件的内部功能。
(3)Cookie泄露网络隐私
Cookie导致网络隐私泄密的紧张缘故原由是:商业利益驱动。随着电子商务的兴起和互联网上巨大商机的涌现,一些网站和机构滥用Cookie,未经访问者的容许,利用搜索引擎技能、数据挖掘技能乃至是网络欺骗技能搜集他人的个人资料,达到构建用户数据库、发送广告等营利目的,造成用户个人隐私的泄露。\公众Cookie信息通报的开放性。Cookie文件具有分外的通报流程 和文本特性,在做事器和客户端之间传送未经安全加密的Cook-ie文件,易导致个人信息的泄密。
五、戒备Cookie泄密的安全方法面对Cookie的安全问题,如何才能安全地运用Cookie呢?
(1)加强安全戒备意识
Cookie相对来说是无害的,但它能用于跟踪用户,利用Cookie必须意识到其固有的安全弱点。
保存在Cookie中的内容,完备有可能是用户的私人数据。例如,网站为了方便用户,利用Cookie来保存会员的注册信息:电子邮件地址、网站的用户名、用户密码、信用卡号码等,以便用户往后登录该网站时不用重新输入这些数据。如果有人盗取了这样的Cookie文件,他就可以伪装登录网站,这将对用户的个人信息安全构成不可预测的威胁。
因此,只在Cookie中保存一些不主要的数据,如用户首选项或其它对运用程序没有重大影响的信息。如果确实须要在Cook-ie中保存某些敏感信息,就要对其加密,以防被他人盗用。可以对Cookie的属性进行设置, 使其只能在利用安全套接字层(SSL)的连接上传输。SSL并不能防止保存在用户打算机上的Cookie被他人读取或操作,但能防止Cookie在传输途中被他人截获。
(2)配置安全的浏览器
IE和Netscape浏览器的工具栏里,都有禁止Cookie的设置选项,都可以设置当某个站点要在用户的打算机上创建Cookie时,是否给出提示。这样用户就可以选择许可或谢绝创建Cook-ie。须要把稳的是,某些网站的运用必须利用Cookie,大略地禁止可能导致无法正常浏览此类网站。
利用IE6会更安全。最新的IE6供应了多种隐私保护功能,包括:查看网站的P3P隐私策略,以理解该网站如何利用个人可识别信息;通过Cookie隐私设置决定是否许可将网站的Cookie保存在打算机上;在访问不符合隐私设置条件的站点时发出隐私警报。用户可以有选择性地设置Cookie。
(3)安装Cookie管理工具
①CookieCrusher
LimitSoftware公司的Crusher适用于Netscape用户,其功能有:管理打算机上已有的Cookie、设置禁止或许可创建Cookie的网站列表、在创建新Cookie与修正已经存在的Cookie时发出警告、禁止第三方网站Cookie、实时掌握接管或谢绝来自站点的Cookie、记录Cookie活动日志、编辑Cookie等,并且在网上浏览时,程序独创的剖析功能可以自动确定网站哀求创建的Cookie的目的,如:判断网站是把Cookie用于存储用户输入的资料还是准备利用Cookie跟踪用户的浏览习气等。
②CookiePaI
除了浏览器能利用Cookie, 其它的互联网软件也可能利用,如邮件程序等。为了掩护网络隐私的安全,同时又能担保一些互联网软件精确地利用Cookie文件,可以安装Kooka-burraSoftware公司的支持多种软件的Cookie管理工具CookiePaI。它专门用于Cookie管理,支持用户查看、删除、编辑已经存在的Cookie,自动地实时掌握是否接管Cookie,根据过期韶光过滤Cookie,它还能够记录Cookie的活动,编辑谢绝或许可Cookie的网站列表。
(4)删除内存中的Cookies
Cookie的信息并不都因此文件形式存放在硬盘中,还有部分信息保存在内存里。这类Cookie常日是用户在访问某些分外网站时,由系统自动在内存中天生的。一旦访问者离开该网站,系统又自动将Cookie从内存中删除。对此,须要借助注册表编辑器来修正系统设置,运行Regedit,找到如下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur-rentversion\InternetSettings\Cache\SpeciaIPaths\Cookies,这是Cookies在内存中的键值,把这个键值删除。右键单击\公众Cook-ies\公众,再单击快捷菜单中的\"大众删除\"大众命令确认删除。
(5)利用AAS技能
2002年,美国IngrianNetworks公司揭橥了可以使Web站点 免受\"大众CookiePoisoning(Cookie修改)\"大众攻击的平台\公众ActiveAppIi-cationSecurity(AAS)\公众。AAS平台能对Cookie内部的主要信息进行加密处理,并附上电子署名。Web做事器每次和客户端进行通信时,将利用电子署名对Cookie的内容进行确认。如果恶意用户删除了电子署名或者变动了信息内容,将会使电子署名和Cookie的内容无法再匹配。这时,AAS便会阻挡这条Cookie并谢绝向Web站点返复书息。其余,该平台还对Cookie内容进行了3DES加密,解密须要口令,通过这种方法安全地保存Cookie。WWW做事器和客户端之间的通信还全部利用了SSL连接办法,以确保通信路由的安全。通过综合利用电子署名、加密、SSL连接等技能组成强效的安全方案,可以打消通信路由及数据存储两方面存在的薄弱性,杜绝对Cookie的修改。
六、Cookie的替代方案有些可以利用cookie实现的方案也可以利用其他机制实现。
1、JSON Web Tokens
(JWT)是一个自包含的信息包,可以用来存储用户标识以及认证信息。可以被用来代替session cookie。和cookie自动附加到每个HTTP要求的办法不一样,JWTs必须被web运用明确指定附加到那个HTTP要求上。
2、HTTP 认证
HTTP包含基本认证以及择要认证协议,利用这些协议只有在供应了精确的用户名和密码后才能访问到web页面。如果做事端须要类似的认证信息来确保web页面的访问权限,那么浏览器每次页面要求的时候都要发送这些认证信息。这些认证信息也可以用来追踪用户。
3、IP 地址
有些用户可能会被基于访问页面的电脑IP地址追踪过,做事端知道当前正在运行浏览器的电脑的IP地址,理论上可以对这个IP地址关联一个用户session。
然后IP地址常日不是一个可靠的追踪session或者标识用户的方法。许多电脑设计的时候便是为了让一个单独用户利用的,例如办公PC,家庭PC会在网络地址转换协议下共享一个公共的IP地址。而且某些系统,例如设计的时候便是为了保持匿名性的,利用IP地址追踪用户显然是不得当的,也是不可能的。
4、URL 查询字符串
一个更精确的技能是基于URL中嵌入信息。URL中的查询字符串部分常日便是为了实现这个目的的,当然也可以利用其他部分。Java Servlet和PHP session机制都是利用这种机制,如果cookie被禁止了。这种方法由做事端在web页面的所有链接中追加包含一个独立session标识的查询字符串组成。当用户点击了个中了一个链接,浏览器把查询字符串传给做事端,许可做事端识别用户坚持状态。这些类型的查询字符串非常像cookie,都包含任意的信息供做事端选择,都会随要求返回给做事端。然而个中还是有点不同的。由于查询字符串是URL中的一部分,如果URL后面被重复发送了,那么上面附加的相同信息将会被发送到做事端,这样可能会产生混乱。例如,如果用户的偏好信息被放在了查询字符串中,用户把这个url通过邮件发给了另一个用户,那么这些偏好信息就会变成另一个用户的。而且如果相同用户从不同的源多次访问相同的页面,这样不能确保每次利用相同的查询字符串。例如,如果一个用户第一次通过一个页面的内部站点访问了一个页面,然后第二次又通过外部的搜索引擎访问到这个页面,这样查询字符串可能会不同。如果在这种情形下利用cookie,cookie可以是相同的。
利用查询字符串其他缺陷便是安全问题。在查询字符串中存储标识session的数据可以导致session固定攻击,referer日志攻击以及其他安全漏洞。把session标识转成HTTP cookie更安全。
5、隐蔽的表单字段
另一种回话跟踪是利用隐蔽域的web表单。这个技能很像利用url查询字符串去保存信息,也有一些优点和缺陷。事实上,如果通过HTTP的GET方法处理表单,那么这种技能就和利用URL查询字符串类似,由于GET方法会把表单字段作为查询字符串追加到URL后面。但是大部分表单都是通过HTTP的POST方法处理,这样表单信息包括隐蔽的字段都会在HTTP要求体中发送,这样既不是URL中的一部分,也不是cookie的一部分。
从追踪的角度来看这种办法有两种好处。第一,把追踪信息放在HTTP要求体中而不是URL中意味着它不会被普通用户察觉。第二,当用户复制URL的时候不会复制到session信息。
6、\"大众window.name\"大众 DOM 属性
所有的当代浏览器都可以通过js利用DOM属性window.name存储一个相称大的数据(2-23M)。这个数据可以用来代替session cookie也是可以跨域的。这个技能可以和JSON工具一起利用来存储客户端上的繁芜session变量凑集。
不敷便是美国单独的窗口或者tab页刚开始打开的时候会有一个空的window.name属性。而且,这个属性可以用来追踪不同站点的访问者。
在某些方面,这种方法可能比cookie更加方便,由于它的内容不会像cookie那样在每次要求的时候自动的发送给做事端,以是它不易收到网络cookie嗅探攻击。然而如果不采取分外的方法保护数据,它很随意马虎受到其他攻击,由于数据可以被在同一个窗口或者tab中打开的其他站点获取到。
7、广告主标识码
苹果利用了追踪技能称为\公众广告主标识码\"大众(IDFA)。这种技能会给每个购买苹果产品的用户分配一个唯一标识。这个唯一标识会被苹果网络广告系统利用,来确定用户正在查看或者回答的广告。
8、ETag
由于浏览器会缓存ETags,然后在后续的要求相同资源时返回,追踪做事器可以大略的复制从浏览器接管的任意ETag来确保ETag长久留存(就像持久化cookie一样)。增加缓存头也可以加强ETag数据的保存。
在某些浏览器中可以通过清理缓存来清楚ETag数据。
9、web 存储
一些web浏览器支持持久化机制,许可页面本地存储信息往后利用。
HTML5标准(绝大多数当代浏览器在某种程度上都支持)包含了一个Javascript API叫做:local storage和session storage。local storage的行为和持久化cookie类似,而session storage的行为和session cookie的行为类似,也便是session storage是绑定在一个单独的tab或者窗口的生命周期中的(也便是页面session),而session cookie是针对全体浏览器的。
IE支持在浏览器历史中持久化信息,在浏览器的收藏夹中,以一个XML格式存储,或者直接在页面中存储到硬盘。
一些web浏览器插件也包含持久化机制。例如Flash有Local shared object,Silverlight有 Isolated storage。
10、浏览器缓存
浏览器缓存也可以用来存储信息,利用这些信息也可以用来追踪用户。这项技能利用的原形是当浏览器判断出来缓存的已经是最新资源时可以利用缓存而不是重新从站点下载。
例如,一个站点托管了一个js文件,这个js文件可以给用户指定一个唯一标识(例如,var userId = 3243242)。只要用户访问之后,每次用户再访问这个页面时,这个文件都会从缓存中获取而不是从做事端获取。以是它的内容永久不会变。
