基于Cookie劫持的Deep-Web用户数据安全性分析.pdf

基于 Cookie 劫持的 Deep-Web 用户数据安全性分析 2021解决方案精选合集 主要内容 1 研究背景 2 实验设计 3 2021解决方案精选合集 实验结果与分析 4 结 论 研究背景 Deep-Web – 概念： Web 中不能被传统有哪些信誉好的足球投注网站引擎索引到的那部分内容． – 特点： • 信息量大 • 访问量高 • 信息质量高 • 增长速度快 2021解决方案精选合集 – 安全风险 • 对数据库的攻击 • 模仿用户行为 获得数据 – 安全事件： • 2011 年 12 月 22 日，以CSDN 、人人网、开心网为代表的一 些社交网站的用户信息被黑客公布，涉及用户资料近 5000 万 份 • 2012 年 7 月 4 日，当当网半年3 次信息被盗，导致信息被盗， 礼品卡盗刷等现象。虽然原因还不明确，但之前的 CSDN 等 研究背景 • Deep-Web 网站一般采取 Cookie 与 Session 机制 – 优势：免去重复登录，为用户提供方便 – 劣势： cookie 信息可能被劫持，并被非法用户冒用， 导致合法用户信息泄露 • 通过 cookie 建立 session 的流程如图所示 2021解决方案精选合集 初始请求数据 ，不包括cooki e 用Set - cooki e设置cooki e值 发送请求 ，附带该cooki e值 相应请求 ，进入sessi on 客户端 服务器 研究背景 • 为了保障用户登陆和数据传输安全，目前几乎所 有的银行网站、电子商务网站和部分社交网络网 站登录时都采用了 HTTPS 协议。 • HTTPS 协议使用安全套接字层 (SSL) 进行信息交 换，是 HTTP 的安全版。相比较于 HTTP 协议， 2021解决方案精选合集 HTTPS 协议解决了信任主机、通信数据防泄密防 篡改等功能。 • 即使采用 HTTPS 方式，如果对 cookie 管理不善， 同样会导致安全问题 研究背景 • 本文的研究目标 通过设计 cookie 劫持实验，从几个方面测试国 内外主流社交网站和电子商务网站的安全机制， 验证其抵御cookie 劫持攻击的能力 ，并提出相 应的安全措施。 2021解决方案精选合集 主要内容 1 研究背景 2 实验设计 3 2021解决方案精选合集 实验结果与分析 4 结 论 cookie 获取方式 Coo