日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Firesheep是西雅圖的一位軟件開(kāi)發(fā)人員Eric Butler編寫(xiě)的一個(gè)火狐瀏覽器插件。他說(shuō)，他編寫(xiě)這個(gè)擴(kuò)展功能是為了展示在某些網(wǎng)站(如Twitter、Facebook、Flickr、Tumblr和Yelp)中的安全漏洞。這個(gè)擴(kuò)展功能允許人們以Cookie的方式查看在公共網(wǎng)絡(luò)上交換的信息。當(dāng)人們登錄Firesheep數(shù)據(jù)庫(kù)中存儲(chǔ)的26個(gè)網(wǎng)站的時(shí)候，他們的信息就容易被竊取。

成都創(chuàng)新互聯(lián)專(zhuān)注于洪澤企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè),商城開(kāi)發(fā)。洪澤網(wǎng)站建設(shè)公司,為洪澤等地區(qū)提供建站服務(wù)。全流程按需規(guī)劃網(wǎng)站，專(zhuān)業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，成都創(chuàng)新互聯(lián)專(zhuān)業(yè)和態(tài)度為您提供的服務(wù)

在隱私保護(hù)人士憤怒之前，這個(gè)黑客工具還不是那樣壞。因?yàn)镕iresheep使用從Cookie中收集的信息，它不會(huì)向任何探聽(tīng)者泄露密碼，僅僅是一個(gè)人的用戶(hù)名和進(jìn)程編號(hào)ID。因此，雖然人們也許會(huì)看到敏感的信息(如這個(gè)人的Facebook賬戶(hù))，但是，他們不能做需要密碼的任何事情(例如，在亞馬遜網(wǎng)站，他們不能購(gòu)買(mǎi)任何商品或者訪問(wèn)信用卡信息)。

而且，F(xiàn)iresheep僅限于破解在同一個(gè)網(wǎng)絡(luò)上的人。因此，如果你在一個(gè)有密碼保護(hù)的網(wǎng)絡(luò)上，只有在那個(gè)網(wǎng)絡(luò)上的人才能夠得到你的信息。當(dāng)然，這意味著當(dāng)你在一個(gè)開(kāi)放的或者公共WiFi網(wǎng)絡(luò)上的時(shí)候，你應(yīng)該格外小心。

下載鏈接：http://down./data/169547

更多安全工具>>進(jìn)入專(zhuān)題

更多網(wǎng)管軟件>>進(jìn)入專(zhuān)題

黑客可以用Firesheep竊聽(tīng)沒(méi)有加密的無(wú)線網(wǎng)絡(luò)上的數(shù)據(jù)，并可以竊取那些登錄到流行站點(diǎn)上的其它用戶(hù)的會(huì)話(huà)。黑客用這個(gè)工具就可以訪問(wèn)用戶(hù)訪問(wèn)流行網(wǎng)站時(shí)所使用的賬戶(hù)，如大名鼎鼎的Facebook賬戶(hù)等。其實(shí)，該工具就是利用了一個(gè)業(yè)內(nèi)人士都熟知的一個(gè)漏洞：會(huì)話(huà)支持。因?yàn)榈侥壳盀橹?，還沒(méi)有完全解決這個(gè)漏洞。

在本文中，筆者將探討Web認(rèn)證背后的機(jī)制，因?yàn)檎沁@種認(rèn)證使得會(huì)話(huà)劫持可以成功。還要討論Firesheep如何利用這些漏洞，最后文章還要討論網(wǎng)站管理員、網(wǎng)站開(kāi)發(fā)人員、終端用戶(hù)可以采取的保護(hù)措施。

WEB認(rèn)證基礎(chǔ)知識(shí)

1、用戶(hù)訪問(wèn)需要認(rèn)證的網(wǎng)站。

2、用戶(hù)提供一個(gè)用戶(hù)名和口令進(jìn)行驗(yàn)證。

3、網(wǎng)站驗(yàn)證用戶(hù)口令，如果通過(guò)，則準(zhǔn)許用戶(hù)登錄進(jìn)入，并將一個(gè)cookie提供給用戶(hù)的瀏覽器。此cookie用于唯一的標(biāo)識(shí)會(huì)話(huà)。

4、用戶(hù)繼續(xù)訪問(wèn)網(wǎng)站。在用戶(hù)請(qǐng)求一個(gè)新網(wǎng)頁(yè)時(shí)，瀏覽器都會(huì)發(fā)送cookie和用戶(hù)請(qǐng)求，提醒Web服務(wù)器：該請(qǐng)求是前面的認(rèn)證連接的一部分。

在多數(shù)情況下，Web開(kāi)發(fā)人員和網(wǎng)站管理員都會(huì)使用HTTPS加密來(lái)保護(hù)這個(gè)過(guò)程的第二步，他們都知道如果其它人員能夠訪問(wèn)其他用戶(hù)的用戶(hù)名和口令，就可以輕易地獲得訪問(wèn)權(quán)。在許多情況下，他們會(huì)轉(zhuǎn)而使用一個(gè)不加密的HTTP連接，以便于實(shí)現(xiàn)Web通信的其余部分，其中也包括cookie的交換。

會(huì)話(huà)劫持攻擊和Firesheep

下面談?wù)剷?huì)話(huà)劫持攻擊。如果竊聽(tīng)者成功地截獲了發(fā)生在第四步的任何通信，他就可以輕易地訪問(wèn)cookie。一旦知道了cookie的內(nèi)容，竊聽(tīng)者就可以偽造一個(gè)HTTP請(qǐng)求，使用cookie訪問(wèn)用戶(hù)的賬戶(hù)。

許多大名鼎鼎的網(wǎng)站（包括Facebook等社交網(wǎng)站）都易于受到這種攻擊的危害。但網(wǎng)絡(luò)銀行及一些電子商務(wù)站點(diǎn)會(huì)加密其所有的通信。劫持社交網(wǎng)絡(luò)站點(diǎn)的會(huì)話(huà)對(duì)一般人而言根本沒(méi)有什么實(shí)際意義。

希望竊取他人會(huì)話(huà)的家伙首先都需要連接到一個(gè)開(kāi)放的無(wú)線網(wǎng)絡(luò)，再啟動(dòng)Firesheep，然后等著有漏洞的用戶(hù)出現(xiàn)在屏幕上。如果出現(xiàn)了一個(gè)有吸引力的目標(biāo)，攻擊只需單擊他的名字，就可以完全訪問(wèn)該用戶(hù)的會(huì)話(huà)。

防御Firesheep等會(huì)話(huà)劫持攻擊

防御Firesheep及其它會(huì)話(huà)劫持攻擊的最佳防線在于WEB開(kāi)發(fā)人員和WEB服務(wù)器的管理人員。如果你開(kāi)發(fā)的WEB應(yīng)用程序依賴(lài)于cookie來(lái)實(shí)現(xiàn)會(huì)話(huà)管理，就要確保以一種安全方式來(lái)管理會(huì)話(huà)。下面介紹幾個(gè)方法：

1、僅通過(guò)SSL來(lái)發(fā)送cookie。如果你要求瀏覽器在傳輸之前加密cookie，在傳輸中就不易遭受攻擊。

2、要限制能夠利用cookie的應(yīng)用程序。你還應(yīng)當(dāng)設(shè)置cookie，要盡可能地限制其使用。至少，要將cookie設(shè)置為僅對(duì)可信域中的系統(tǒng)可用。理想情況下，還應(yīng)僅允許可信域中的特定服務(wù)器訪問(wèn)這些cookie，還有設(shè)置路徑（path）選項(xiàng)，僅準(zhǔn)許特定的應(yīng)用程序可以訪問(wèn)cookie。

3、限制cookies僅能使用HTTPS。你還可以使用httponly標(biāo)記，要求瀏覽器僅能通過(guò)HTTP/HTTPS直接將cookie提交給服務(wù)器。這會(huì)防止攻擊者通過(guò)JavaScript攻擊訪問(wèn)cookie。

如果你是一位終端用戶(hù)，你可能無(wú)法控制cookies的配置方法，但你可選擇下面的一些措施：

1、限制不提供HTTPS連接的網(wǎng)站的使用。

2、通過(guò)VPN建立連接。如果你在一個(gè)有風(fēng)險(xiǎn)的地方上網(wǎng)，并且擔(dān)心竊聽(tīng)者會(huì)執(zhí)行會(huì)話(huà)劫持攻擊，可以試著連接到工作場(chǎng)所的VPN（虛擬私有網(wǎng)絡(luò)），并使用此連接來(lái)加密你的網(wǎng)絡(luò)通信。

結(jié)束語(yǔ)

Firesheep所代表的絕不僅僅是一種軟件威脅。它以一種WEB應(yīng)用程序執(zhí)行會(huì)話(huà)管理的方式突顯了一種底層漏洞。雖然有一些臨時(shí)的解決方案可以幫助企業(yè)限制這種工具所造成的短期損害，但WEB應(yīng)用程序社團(tuán)應(yīng)當(dāng)緊密協(xié)作，并開(kāi)發(fā)可以解決會(huì)話(huà)劫持攻擊的長(zhǎng)期解決方案。否則，在下一個(gè)黑客工具出現(xiàn)之后，我們依舊容易遭受攻擊。

新聞名稱(chēng)：用Firesheep教你怎樣應(yīng)對(duì)會(huì)話(huà)劫持（附下載）
分享URL：http://m.5511xx.com/article/ccdhdhc.html