是否可以通过电子邮件访问Cookie?我担心的是,只需发送电子邮件就可以窃取facebook登录cookie。
我知道可以将用户重定向到网址而不让他意识到这一点。例如,我曾经显示一个1x1 gif来将用户重定向到一个url(我用它来制作电子邮件打开统计信息)。如果在目标网址上我创建了一个恶意js脚本:我能够访问用户的cookie吗?
或者换句话说,如果电子邮件中有链接并且用户点击了链接,目标网站是否能够访问用户的Cookie?
我读过this;有没有人有关于这个问题的更多细节?
@ user3345621
感谢您的回答,对我来说似乎是对的。 但是再次看一下facebook的例子,我还有几个问题:
我可能错了,但我认为cookie加密对这种情况没有帮助。 cookie加密将有助于隐藏密码,以防我访问 您的本地计算机并直接查看cookie。 但是,如果我加密加密的cookie,我将能够使用它们, 让facebook做加密工作。 换句话说,我认为cookie是否加密无关紧要, 只要应用程序(本例中的facebook)将为您解码它们。
现在,同样重申关于重新创建cookie的事实。 我认为这是使用session_regenerate_id函数的直接结果。
但无论如何,我的理解(可能是错误的)是即使重新创建了cookie, 如果黑客向您发送恶意电子邮件,他将获得最新版本的cookie 无论如何,因为在我描述的技术中,你被重定向到恶意网站, 这样,网站在开放时可以访问当前的cookie(如果可能的话)。
答案 0 :(得分:4)
我可能不对,因为我对应用程序安全性还不熟悉。
以下是关于饼干的最佳照片:
Cookie是特定于域名的(FACT),当您有一个存储您的用户ID和电子邮件的facebook cookie(可能?)时,只有facebook域可以访问该cookie。此外,在大多数情况下,您的cookie中的信息(尤其是在Facebook等企业系统中)是加密的,在其他情况下,哈希用于屏蔽信息(事实的排序)。
所以让我们以facebook为例,因为他们使用强大的加密格式(FACT)。例如,如果您能够获取用户的Facebook cookie,则需要将信息解密,以便开始使用,因为它对您有用。到那时,将生成一个新的cookie(darn facebook adddicts)。
在安全问题上,如果通过某种方式你能够获得不属于你的域的用户cookie,那将是一个黑客攻击(do'h!),你需要检查任何浏览器(是的,你应该利用浏览器),有这样的漏洞,或者自己找一个..
所以他们在这里:
世界是你的。
答案 1 :(得分:1)
我试图给我发送一封电子邮件,上面有以下图片:
<img src="http://localwebsite/js.php" />
在我的本地计算机上,我在此网址创建了一个页面:
http://localwebsite/js.php
使用javascript警告(“某事”)。
发送电子邮件给自己, 我预计邮件客户端会打开一个Web浏览器页面并打开js弹出窗口, 但事实并非如此。
发生了什么事,因为它不是真正的形象, 我的邮件客户端(使用mac上的邮件)确实显示了蓝色方形感叹号, 表明他无法显示该图像。 即使我点击“加载图片”。 然后不再发生: 我假设邮件客户端转到网址并尝试在邮件中显示预期的图像, 但由于没有图像,没有任何变化。 网址根本没有在浏览器中打开,一切都在后台完成。
阅读有关电子邮件中javascript的更多信息,似乎一般来说,javascript根本没有被解释 在电子邮件中。 我也测试过:发送一封包含以下内容的电子邮件:
<script type="application/javascript">alert("pou")</script>
Mail(mac)不执行脚本。
所以回答这个问题,
我相信黑客唯一能用邮件做的事情是:
所以,如果你足够谨慎,邮件不是一个很大的威胁。 我是偏执狂......