基于cookie劫持的deep-web用户数据安全性分析报告.pptx

主要内容 研究背景 Deep-Web 概念：Web中不能被传统有哪些信誉好的足球投注网站引擎索引到的那部分内容． 特点： 信息量大 访问量高 信息质量高 增长速度快 安全风险 对数据库的攻击 模仿用户行为 获得数据 安全事件： 2011年12月22日，以CSDN、人人网、开心网为代表的一些社交网站的用户信息被黑客公布，涉及用户资料近5000万份 2012年7月4日，当当网半年3次信息被盗，导致信息被盗，礼品卡盗刷等现象。虽然原因还不明确，但之前的CSDN等被盗引起的关联已经被有关方面视为这次事件的主要原因。 研究背景 Deep-Web网站一般采取Cookie与Session机制 优势：免去重复登录，为用户提供方便 劣势：cookie信息可能被劫持，并被非法用户冒用，导致合法用户信息泄露 通过cookie建立session的流程如图所示 研究背景 为了保障用户登陆和数据传输安全，目前几乎所有的银行网站、电子商务网站和部分社交网络网站登录时都采用了HTTPS协议。 HTTPS协议使用安全套接字层(SSL)进行信息交换，是HTTP的安全版。相比较于HTTP协议，HTTPS协议解决了信任主机、通信数据防泄密防篡改等功能。 即使采用HTTPS方式，如果对cookie管理不善，同样会导致安全问题 研究背景 本文的研究目标 通过设计cookie劫持实验，从几个方面测试国内外主流社交网站和电子商务网站的安全机制，验证其抵御cookie劫持攻击的能力，并提出相应的安全措施。 主要内容 Cookie的获取方式主要有以下三种： 在局域网内部获取同一局域网中其他用户的cookie。 在局域网与外网的出入口处截获cookie。 编写攻击脚本程序获得他人cookie。 出于实用和便捷的考虑本文采取第一种方式，即模拟局域网环境获取cookie。 cookie获取方式 实验设计 实验环境示意图： 目标网站： SNS：facebook、人人网 、开心网 微博：twitter 、新浪微博 、腾讯微博、网易微博 论坛类：CSDN 、水木社区、北邮人论坛 电子商务类：亚马逊、淘宝、京东、当当 研究背景 主要内容 实验结果与分析 通过对用户登录数据包信息的分析，各个deep-web网站登录方式以及用户密码加密情况如下表所示： 网站 是否HTTPS登陆 HTTP登陆账号密码是否密文 Facebook    twitter 人人网 开心网 新浪微博 腾讯微博 网易微博 CSDN 北邮人论坛 水木论坛 亚马逊 淘宝 京东商城 当当                             实验结果与分析 对facebook等10个网站实施cookie劫持攻击，可以得到各个网站对cookie劫持攻击的防御能力以及cookie的配置策略，如下表所示： 网站 有效性 是否可以全操作 有效期 用户注销后可用性 不同网段是否有效 facebook   29天   twitter   1月   开心网   1月   新浪微博   1天   腾讯微博   7天   网易微博   1年   淘宝网   1月   当当网   1年   京东商城   30天   亚马逊   5月   实验结果与分析 通过以上表可以得出以下结论： 所测试的网站均无法抵御cookie劫持攻击。 仿冒用户登录绝大多数网站后，可以实施合法用户的所用操作。 各个网站缺省cookie的有效期均不相同，从1天到1年不等。 cookie有效期内，除了facebook，用户的所有注销和退出操作都不会导致cookie的失效。对于facebook，当使用同一账号的所有终端都注销的时候，cookie就会失效。 对于所有测试网站，不同网段的主机使用cookie信息仿冒登录均有效。 实验结果与分析 实验中发现，facebook和twitter向用户提供了一种完全HTTPS协议方式，即用户不仅在建立连接时采用HTTPS协议，在用户操作时，也采用HTTPS协议传输数据。 优点：安全性高，对于这种完全HTTPS协议方式，可以完全抵御cookie劫持攻击。 缺点：导致页面加载速度降低 安全等级制度 安全措施 为保障用户数据安全，主流deep-web网站可以以在以下几个方面采取安全措施： 登录时采取HTTPS方式传输用户名及密码 重要数据采用类似淘宝网、当当网等的多次验证方式 cookie有效期设置不宜过长 cookie有效期理应在注销之后失效 对于跨网段攻击，建立一定的ip验证机制 建立安全等级制度，对安全性要求较高的用户或在不安全环境下的用户提供完全HTTPS协议传输方式的登录选项。 主要内容 结