社会工程学,永恒之黑,Cookie与会话,浏览器安全

这篇具有很好参考价值的文章主要介绍了社会工程学,永恒之黑,Cookie与会话,浏览器安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

社会工程学

1.打开kali自带的程序:social engineering toolkit(root)

社会工程学,永恒之黑,Cookie与会话,浏览器安全,安全,网络攻击模型

2.社会工程攻击”  1)”社会工程学,永恒之黑,Cookie与会话,浏览器安全,安全,网络攻击模型

3.网站攻击模块"  2)  "

社会工程学,永恒之黑,Cookie与会话,浏览器安全,安全,网络攻击模型

4.凭证采集器攻击方法“  3)”

社会工程学,永恒之黑,Cookie与会话,浏览器安全,安全,网络攻击模型

5.选择不同方式

社会工程学,永恒之黑,Cookie与会话,浏览器安全,安全,网络攻击模型

永恒之黑

1.检测漏洞是否存在

2.蓝屏攻击:kali“用终端打开”  ,python CVE-2020-0796.py 受攻击IP。

社会工程学,永恒之黑,Cookie与会话,浏览器安全,安全,网络攻击模型

3.漏洞攻击:出现meterpreter为成功!

Cookie与会话

Cookie 是 Web 服务端发送给用户浏览器的一小段数据,浏览器会存储这些数据,并在后续发往服务器的请求中带上它们。

第一方 Cookie 和第三方 Cookie:

第一方 Cookie 和第三方 Cookie 是相对的概念,我们根据用户是直接访问网站还是通过外部网站嵌入访问的,来决定该网站的 Cookie 是第一方的还是第三方的,而不是根据 Cookie 自身的属性决定。所以,一个 Cookie 在某些情况下是第一方 Cookie,换了个场景就可能就是第三方Cookie,这取决于当前用户所访问的网站。例如上图中,用户访问a.com 时,ad.com上的 Cookie 就是第三方 Cookie,而如果用户直接访问 ad.com,那么 ad.com 的 Cookie 就是第一方Cookie。

会话安全:

在 Web 应用中,会话的本质是标识不同的访问者,并记录他们的状态。攻击者如果窃取到个合法的会话标识,或者伪造会话标识,都相当于盗取了一个账号的身份。如果服务端会话管理不当,也可能造成敏感数据泄露。

SameSite 属性

cookie属性 Domain 属性 Path 属性 Expires 属性 HttpOnly 属性 Secure 属性 SameSite 属性

浏览器安全

同源策略

同源策略是 Web 应用中最核心和最基本的安全功能,它限制了 JavaScript 不能读取和操作其他源的资源。对于广泛依赖 Cookie 来维护用户会话的现代 Web 应用来说,这种机制具有特殊意义,浏览器只有严格限制不同源的资源互访问,才能保证网站会话凭证的安全,防止敏感信息泄露。

社会工程学,永恒之黑,Cookie与会话,浏览器安全,安全,网络攻击模型

试想如果没有同源策略,你登录网银站点 bank.com 后没有退出,又接着访问了一个恶意网站,这时该恶意网站中的JavaScript 代码向 bank.com 发起请求,就能读取其中的账户、余额等信息,甚至发起转账交易,将会非常危险。有了同源策略,才能避免这种跨越不同源网站的访问行为。即使用户用同一个浏览器在不同标签页访问不同的网站,或者一个网站的页面中嵌入了其他网站的内容,同源策略都可以确保不同站点之间是隔离且不可互访问的。

浏览器沙箱

现代浏览器都引入了多进程架构沙箱机制,它假设程序会存在安全漏洞,通过沙箱来限制漏洞被进一步利用,而多进程架构则可以确保单个页面或组件崩溃时不会影响整个浏览器。

谷歌的 Chrome 是第一个采用多进程架构的浏览器, 多进程模式只是让各个模块相互隔离,但是当存在漏洞的模块被恶意利用时还是会对系统造成破坏。虽然现代操作系统和编译器提供了各种安全机制来保证程序的安全,如 DEP、ASLRSafeSEH、StackGuard 等内存保护技术,但这些机制还是不断被安全研究人员突破,所以现在主流的浏览器都采用沙箱技术来进一步提升安全性。

社会工程学,永恒之黑,Cookie与会话,浏览器安全,安全,网络攻击模型

沙箱机制:是一种安全措施,用于限制不受信任的代码的行为范围,以防止恶意行为对操作系统或用户数据的损害。浏览器沙箱通常通过以下方式实现:

  1. 进程沙箱:每个进程都在沙箱环境中运行,限制了进程对操作系统资源的访问权限。例如,进程可能无法直接读取或修改文件系统,或者无法访问敏感的操作系统接口。

  2. 网络沙箱:浏览器对网络请求进行控制和过滤,以防止恶意网站进行跨域请求、XSS攻击等。沙箱还可以限制网页对本地资源的访问,如文件系统、摄像头、麦克风等。

  3. JavaScript沙箱:JavaScript是网页中常用的脚本语言,但它也可能被滥用进行攻击。浏览器通过对JavaScript代码进行限制和隔离,确保其在沙箱环境中运行,防止对浏览器或用户数据的恶意操作。

    社会工程学,永恒之黑,Cookie与会话,浏览器安全,安全,网络攻击模型文章来源地址https://www.toymoban.com/news/detail-800588.html

到了这里,关于社会工程学,永恒之黑,Cookie与会话,浏览器安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Kali--社会工程学工具-social engineering toolkit(SET)

    目录 前言 社会⼯程学概念 社会工程学工具使用 总结 加油各位( •̀ ω •́ )y 期待与君再相逢 突然想到kali里面有个渗透测试工具 SET 今天在kali里面   利用现成的工具给大家演示如何制作一个简单的钓鱼网站 社会⼯程学通常以交谈、欺骗、假冒或⼝语等⽅式,从合法⽤户中

    2024年02月02日
    浏览(43)
  • 屎山代码工程学

    本项目旨在编写常人难以维护的屎山代码,按我以往经验,如果想让后续接手人员面对你的代码难以维护,首先需要你确定好后续接手项目人的经验水平,从而采取不同的shit策略 菜鸟篇 如果你负责的项目/模块比较简单,后续可能是菜鸟程序员来接手该部分,此时最好的策略

    2024年02月16日
    浏览(52)
  • 机器人工程学习和研究的结构性失衡

    结论:无解,谁是那屈指可数的幸运者/(ㄒoㄒ)/~~ 供给:培养的机器人工程专业人才 需求:市场企业主体招聘的相关人才 不匹配,错配,导致供给无效。 机器人工程学习和研究的结构性失衡可能是由多种原因导致的。以下是其中几个可能的原因: 人才培养方向和趋势 :现有

    2024年02月02日
    浏览(54)
  • 社会工程攻击、会话安全、浏览器安全

    1.社会工程攻击 2.网站攻击模块 3.tabnabbing攻击方法 1.检测漏洞是否存在 本机cmd查找,输入被攻击的ip地址 2.蓝屏攻击 运用python 3.漏洞攻击 开后门以及kali监听 Cookie和会话安全 Cookie 和会话是 Web 应用中的基础概念,有了会话的机制,Web 应用才能记住访问者的状态。在长连接的

    2024年01月17日
    浏览(50)
  • 爬虫之Cookie获取:利用浏览器模拟一个cookie出来、面对反爬虫、加密的cookie的应对方法

    在爬虫或模拟请求时,特别是获取验证码的时候,反爬虫的网站的cookie或定期失效,复制出来使用是不行的 为了应对这种方式,我们可能就需要像浏览器打开网站一样,取得它信任的cookie selenium就是一个很好的手段 一、什么是selenium Selenium最初是一个自动化测试工具,Selen

    2024年01月16日
    浏览(45)
  • Python + Selenium 处理浏览器Cookie

    工作中遇到这么一个场景:自动化测试登录的时候需要输入动态验证码,由于某些原因,需要从一个已登录的机器上,复制cookie过来,到自动化这边绕过登录。 浏览器的F12里复制出来的cookie内容是文本格式的: 这里需要把cookie文本处理为name和value格式的字典形式,这个是S

    2024年02月13日
    浏览(53)
  • 深入解析浏览器Cookie(图文码教学)

    本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主! 也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远! Cookie 翻译过来是饼干的意思。 Cookie是一种用于在客户端浏览器和服务器之间进行状态跟踪的技术

    2024年02月16日
    浏览(36)
  • 谷歌浏览器如何查看cookie存放信息

    Cookie,有时也用其复数形式 Cookies。类型为“ 小型文本文件 ”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。下面以谷歌游览器查看cookie为例 谷歌浏览器查看cookie 1.打开谷歌游

    2024年02月05日
    浏览(48)
  • 利用远程调试获取Chromium内核浏览器Cookie

    本文将介绍不依靠DPAPI的方式获取Chromium内核浏览器Cookie 首先我们以edge为例。edge浏览器是基于Chromium的,而Chromium是可以开启远程调试的,开启远程调试的官方文档如下: https://blog.chromium.org/2011/05/remote-debugging-with-chrome-developer.html 那么开启远程调试以后可以做什么呢,继续看

    2024年02月15日
    浏览(47)
  • 【Vue】浏览器缓存sessionStorage、localStorage、Cookie

    目录 一、sessionStorage 1、简介 2、方法 3、代码示例 a、存取单个数据 b、存取对象 c、清除数据 二、localStorage 1、简介 2、方法 3、代码示例 三、cookie 1、简介 2、方法 3、代码示例 四、三者区别 1、sessionStorage与localStorage区别 2、sessionStorage、localStorage、cookie区别 五、往期相关优

    2024年02月07日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包