Windows + V:許多 Windows 使用者不知道的有用捷徑
與許多其他平台一樣,Windows 也有一個專門的剪貼簿管理器,稱為「剪貼簿歷史記錄」。
Web12:會話固定駭客技術
一、簡介
會話固定是一種允許駭客劫持使用者會話的技術。該技術利用了這樣一個事實:伺服器不會在使用者每次登入時更改會話 ID 值,而是使用預先存在的會話 ID。攻擊過程包括取得有效的會話ID(可能是透過造訪網站),然後想辦法讓受害者用這個會話ID登入網站,最後,當受害者成功登入後,駭客就會瀏覽帶有他帳戶的網站。具體場景如下:
Mallory 會找到一個網站,例如 http://unsafe.example.com,該網站接受請求中的任何會話 ID,無需進行身份驗證。
Mallory 將向 Alice 發送一封電子郵件,其中包含連結 http://unsafe.example.com/?SID=1234。
Alice 造訪 http://unsafe.example.com/?SID=1234。然後登入網站。
Mallory 只需造訪 http://unsafe.example.com/?SID=1234,並透過 Alice 的帳戶使用網站。
Mallory可以使用以下方法為Alice設定cookie:
附上設定cookie的腳本
發送帶有 Mallory cookie 值的 HTTP 回應資料包Send HTTP Response packet with Mallory cookie value
使用 HTML 元標記:
2. 範例
範例 1 – 客戶端腳本
與上面提到的場景類似,但是,在這種情況下,Session ID 不是在 URL 中傳遞,而是在 cookie 中傳遞。為了編輯受害者 cookie 中的會話 ID 值,駭客會插入一段 Javascript:
http://website.kom/document.cookie=”sessionid=abcd”;
範例 2 - 標籤
與客戶端腳本類似,但這次駭客將插入額外的標籤:
http://website.kon/
範例 3 – HTTP 標頭回應
會話 ID 插入也可以透過攔截用戶端和 Web 應用程式之間交換的資料包,然後將 Set-Cookie 欄位插入標頭來完成。
3、如何預防
造成此錯誤的原因是伺服器在每次成功登入後沒有重新產生會話ID。因此,修復這個錯誤並不困難,我們只需要改變Session ID的值就可以了。在 PHP 中,我們使用 session_regenerate_id() 函數來重新產生會話。
如何在 Windows 10 上安裝 macOS Big Sur/iOS 14 小工具
macOS Big Sur 版本在最近的 WWDC 大會上正式公佈。並且您可以使用 Rainmeter 工具將 macOS Big Sur 的介面完全帶到 Windows 10 上。
如何保護遠端桌面免受 RDStealer 惡意軟體的侵害
RDStealer 是一種惡意軟體,它試圖透過感染 RDP 伺服器並監控其遠端連線來竊取憑證和資料。
7 個 Windows 最佳檔案管理軟體,可取代檔案總管
也許是時候告別文件資源管理器並使用第三方文件管理軟體了?以下是 7 個最佳 Windows 檔案總管替代品。
LoRaWAN 是如何運作的?為什麼它對物聯網很重要?
LoRaWAN 或遠端無線區域網路對於低功耗設備之間的長距離通訊非常有用。
在 Windows 10 上開啟進階啟動選項的 8 種方法
透過導覽至進階啟動選項,您可以重設 Windows 10、還原 Windows 10、從先前建立的映像檔還原 Windows 10、修復啟動錯誤、開啟命令提示字元以執行選項選擇不同、開啟 UEFI 設定、變更啟動設定。 ..
為什麼在使用社群網路帳號登入之前應該仔細考慮?
每次註冊新服務時,您都可以選擇使用者名稱和密碼,或直接使用 Facebook 或 Twitter 登入。但你應該這樣做嗎?
更改 Google DNS 8.8.8.8 和 8.8.4.4 的說明
DNS Google 8.8.8.8 8.8.4.4是許多使用者選擇使用的DNS之一,特別是為了加速網路存取或存取被封鎖的Facebook。
如何在 Windows 10 上始終以 InPrivate 模式啟動 Microsoft Edge
如果你在共用的 Windows 10 電腦上使用 Microsoft Edge 並且希望將瀏覽記錄保密,則可以讓 Edge 始終以 InPrivate 模式啟動。
探討對稱加密和非對稱加密的差異
目前普遍部署的加密有兩種類型:對稱加密和非對稱加密。這兩種類型的加密之間的基本區別在於,對稱加密使用單一金鑰進行加密和解密操作。