网站设计的安全性-什么是Cookie劫持以及如何预防？

Cookie可让网站在您上网时识别您的身份，它们对有回头客的网站最有益。如果您曾经访问过天气网站，并且它会根据您上次访问记住您的位置，那么这就是使用cookie的一个示例。

当您登入Web应用程序或站点（例如社交媒体帐户或零售网站上的个人资料）时，由于服务器设置了临时会话cookie，您的浏览器会知道您已登入。该会话意味着您可以在浏览站点并单击不同页面时保持登入状态。如果没有cookie，您每次在该网站上打开新页面时都必须重新登入。

这很方便，是的，但它使您更容易受到cookie劫持者的攻击。如果黑客获得了您的会话ID的访问权限，他们可以访问您在网站上访问过的相同位置，并假装是您。

什么是Cookie劫持？

Cookie劫持，也称为会话劫持，是黑客访问和窃取您的个人数据的一种方式，他们还可能阻止您访问某些账户。

劫持cookie与找出您的密码一样强大，有时甚至更强大。通过cookie劫持，黑客可能可以无限制地访问您的所有资源。例如，攻击者可能会窃取您的身份或公司机密数据；购买物品；或窃取您的银行账户。

Cookie劫持是如何工作的？

当恶意软件程序等待用户登入网站时，可能会发生Cookie劫持。然后，恶意软件窃取会话cookie并将其发送给攻击者。

当攻击者向用户发送虚假登入信息时，通常会发起cookie攻击。受害者点击虚假链接，这让攻击者窃取了cookie——实际上，攻击者可以捕获用户输入的任何内容。攻击者然后将该cookie放入他们的浏览器中，并能够扮演您的角色。

有时，甚至不需要虚假链接。如果用户在不安全的公共Wi-Fi连接上进行会话，黑客可以轻松窃取通过连接传输的数据。即使该站点是安全的并且您的用户名和密码已加密，这种情况也可能发生。

一旦攻击者拥有用户的会话cookie，他们就可以登入网站并执行您可以执行的几乎任何操作，包括更改您的密码。这通常是自动化的，因此只需几秒钟即可完成。如果攻击者随后对受害者启用多因素身份验证(MFA)，他们可能再也无法访问其账户。

Firesheep

Firesheep是cookie劫持有时如何运作的一个很好的例子。这个Firefox浏览器扩展由编码员EricButler于2010年10月建立，它窃听共享Wi-Fi热点上用户的浏览会话，以密切关注会话cookie。当它检测到一个时，它会拦截它以接管属于该会话的人的身份。这种cookie劫持的方法称为数据包嗅探。

Firesheep不是恶意的。它旨在展示当只有登入过程而不是cookie被加密时，从流行网站劫持cookie会话是多么容易。巴特勒表明，通过基本的cookie检查，访问同一热点的黑客可能会冒充另一个人。

更多Cookie劫持方法

还有一些其他的cookie劫持方法需要注意。使用蛮力攻击恶意软件注入；如果恶意软件感染了您的计算器或您运行的网站，它可以监视您并记录浏览器会话。

如何防止Cookie劫持

预防此类黑客行为的范围从利用先进的安全技术到教您的员工（和其他人）了解cookie劫持威胁。

MFA保护

不幸的是，高级MFA保护和高级cookie劫持方法是周期性的。随着一个改进，另一个也必须改进。对于企业和网站所有者来说，实施更多的MFA保护并不总是能提高安全性——它只会使cookie劫持攻击更加先进。

这并不意味着根本不使用MFA——它在某些情况下确实减少了攻击。最大的问题是人们仍然点击那些虚假链接，这就是为什么教育在这里如此重要（稍后会详细介绍）。

此外，某些MFA形式比其他形式更强。例如，基于文本的身份验证代码较弱，而受时间限制的一次性密码较强。

教育

每个人都应该知道如何发现虚假链接。通常，网站地址会出现拼写错误，如果您不注意，很容易错过。例如，它可能拼写为Facebok而不是Facebook。如果您注意到类似的内容，请不要单击该链接。

此外，不同类型的MFA解决方案具有不同的风险。由企业的IT部门来识别这些风险。再次，教育是关键。

更多数字卫生提示

还有一些方法可以限制cookie劫持尝试的风险：

检查URL：安全网站应使用HTTPS来加密所有流量。查看URL以查看它是否以HTTPS开头。

仅使用安全连接：避开免费的公共Wi-Fi，尤其是那些甚至没有密码保护的Wi-Fi。

完成后注销：每当您在网站上完成时，注销。如果您在线工作并且每天必须多次访问相同的站点，请将浏览器设置为在您关闭浏览器时自动将您注销。

删除Cookies：定期清除您的cookie以确保任何剩余的浏览活动数据都消失了。

使用VPN：为了获得更高级的保护，您可以使用虚拟专用网络，它会隐藏您的IP地址并通过加密信道重新路由您的流量。

WordPress用户需要了解的关于Cookie劫持的内容

在线浏览时保持安全是一回事。如果您拥有或运行WordPress网站，您还必须保护自己的网站免受cookie劫持，更不用说保护您的访问者了。

如果您的网站成为cookie劫持的受害者，攻击者可能会获取您和您客户的登入凭据。他们还可以窃取信用卡信息以及其他个人信息。从本质上讲，如果您的网站上存在cookie劫持，那么每个人和一切都处于危险之中。除MFA外，还应优先考虑以下事项。

安装SSL证书

确保您的虚拟主机为您的网站提供SSL证书。当数据在用户的浏览器和Web服务器之间传输时，SSL会对数据进行加密，使其不易被读取。

使用HTTPS

您不想访问没有HTTPS的其他网站，您的网站应该遵循相同的标准。您不仅需要在站点的登入页面上使用HTTPS，还需要在整个站点上使用HTTPS。

使用反恶意软件解决方案

每个WordPress网站都应该有一个可靠的安全插件。反恶意软件解决方案将使cookie窃取软件远离。我们有一份适合您网站的最佳WordPress安全插件列表。

保持您的网站更新

您网站的每个部分都应该保持最新，从WordPress安装本身到您安装的任何主题和插件。每当您运行过时的软件时，它都容易受到攻击。

Cookie劫持常见问题

黑客可以用cookie做什么？

很多。想想您在网站上填写的任何个人信息——您的用户名和密码、您的信用卡信息、您的地址等。一旦黑客获得了您的会话cookie的访问权限，他们基本上可以扮演您的角色。例如，如果您登入到您的银行账户，他们可以设置转账以清空您的账户并将资金转移到他们自己的账户中，然后他们可以更改密码，因此您根本无法访问银行账户.

如果您接受cookie，您会被劫持吗？

有时。当您使用不安全的公共Wi-Fi（例如在咖啡店或商场）时，您最容易受到攻击。Wi-Fi连接没有任何安全措施可以阻止黑客访问他们可以访问的任何内容。如果您必须在这种类型的设置中上网，请至少在浏览器上使用隐私或隐身模式。

如何清除cookie？

大多数浏览器都有删除历史记录和数据的选项。您应该能够删除所有内容，或者您可以选择仅删除您的cookie和站点数据——这取决于您。您也可以将其设置为自动发生。

关于Cookie劫持的最终想法

在线保护自己不仅仅是拥有难以猜测的密码和在您完成一天后删除您的浏览历史记录。您也必须保护您的会话cookie，尽管大多数人甚至没有意识到这使他们变得多么脆弱。Cookie存储了大量有价值的信息——所有这些信息都是您努力以其他方式保护的。

如果您经营任何规模的组织，它肯定应该使用MFA——但也有必要知道这不是一个万无一失的选择。您需要多层安全保护以防止cookie劫持，而MFA只是其中一层。对于WordPress网站所有者来说，设置尽可能安全的网站以保护您自己、您的员工和您的访问者非常重要。

防止cookie劫持企图最重要的是教育。让员工、用户和经理意识到威胁，包括注意什么和不做什么，是必不可少的。