这是入侵Facebook应用程序的有效方式吗?(可能还有Facebook)? 你的朋友连接到Facebook并检查“记住我” Facebook在浏览器上创建cookie 你的朋友去洗手间 你从朋友的浏览器及其数据中窃取了他的cookies 你回家用这些数据做这些饼干
假设Facebook没有将Cookie+IP关联起来,您可以访问Facebook页面。编辑:没错,Facebook不检查IP这是入侵Facebook应用程序的有效方式吗?(可能还有Facebook)? 你的朋友连接到Facebook并检查“记住我” Facebook在浏览器上创建cookie 你的朋友去洗手间 你从朋友的浏览器及其数据中窃取了他的cookies 你回家用这些数据做这些饼干,facebook,security,Facebook,Security,假设Facebook没有将Cookie+IP关联起来,您可以访问Facebook页面。编辑:没错,Facebook不检查IP 现在,让我们看看脸谱网Connect。这是关键 用户通过按下按钮“连接” Facebook在浏览器上设置cookie,应用程序后端将从中读取cookie以确定用户是否经过身份验证。然后,将此FB cookie id与系统中的用户关联 如果您的系统没有检查IP,那么理论上伪造cookie将允许您访问使用Facebook Connect的应用程序。这样您就可以访问应用程序 在
现在,让我们看看脸谱网Connect。这是关键
因此,Facebook Connect不应该与任何“重要”的东西一起使用。是吗?不是。要偷你朋友的饼干,你需要物理访问机器,如果你有存储在那里的所有东西,你就容易受到攻击。Facebook不能也不应该做任何事情来阻止这种情况。另一种选择是,在你的朋友上完厕所后,你可以偷他的钱包,用里面的现金贿赂他的女朋友,让他把Facebook密码给你,因此,他所有使用Facebook Connect的应用程序都会受到攻击。那么你就有了绕过WiFi网络的问题,这会使“记住我”选项变得毫无用处。为了破解Facebook帐户,你可以采用很多方法。 例如,您可以从学习一些基本的黑客方法(有数千种)开始,并尝试将它们结合在一起。 其中包括:
- 键盘记录器
- 拒绝服务(DoS\DDoS)
- 水坑攻击
- 假冒WAP
- 窃听(被动攻击)
- 网络钓鱼
- 病毒、特洛伊木马
- 点击劫持攻击
- 等
祝你好运!6.你的朋友不再是你的朋友了。:公平地说,物理访问任何框都意味着你拥有它,所以我认为这个问题是多余的。例如,你的朋友可能已经将浏览器设置为记住密码,而以明文形式打开和查看是微不足道的。即使系统/cookie确实检查了IP,你还不能吗欺骗IP?如果Facebook检查IP,则“记住我”不适用于IP每24小时更改一次的DSL连接。@Kalmi:很少有ISP使用如此短的窗口来循环IP,不管是否使用DSL。大多数ISP都将DHCP租约设置为接近无限期。此外,通过将cookie窃取到经过身份验证的会话中,就Web应用程序而言,您已经准备好劫持会话。记住,HTTP是无状态的,并且没有规则规定web应用程序上的一个会话不能跨多个IP地址移动。例如,我现在登录到gmail,今晚回家时,虽然我的IP已更改,但我仍将登录到gmail事件。如果我使用FB Connect而不是我的google id进行身份验证,我就不想再进行身份验证我相信facebook通过未加密的连接发送cookie。所以,比如WiFi就足以窃取cookie。不需要访问任何场所。