这是入侵Facebook应用程序的有效方式吗？（可能还有Facebook）？ 你的朋友连接到Facebook并检查“记住我” Facebook在浏览器上创建cookie 你的朋友去洗手间 你从朋友的浏览器及其数据中窃取了他的cookies 你回家用这些数据做这些饼干

假设Facebook没有将Cookie+IP关联起来，您可以访问Facebook页面。编辑：没错，Facebook不检查IP

现在，让我们看看脸谱网Connect。这是关键

用户通过按下按钮“连接”

Facebook在浏览器上设置cookie，应用程序后端将从中读取cookie以确定用户是否经过身份验证。然后，将此FB cookie id与系统中的用户关联

如果您的系统没有检查IP，那么理论上伪造cookie将允许您访问使用Facebook Connect的应用程序。这样您就可以访问应用程序

在进行Facebook连接时，您应该检查IP以增加安全级别，这样说有效吗？但即使如此，也有人对IP欺骗进行了评论

@每个说“物理访问”的人：

是的，我同意物理访问的概念使这个问题变得微不足道。然而，这是应用程序必须注意的一个漏洞。当然，Facebook个人资料/毫无价值的应用程序并不重要……但如果该应用程序是银行系统呢？我想说的是，如果花旗银行或美国银行使用“Facebook连接”（这可能很愚蠢，但让我们假设一下），那么这种方法将被证明是访问他们账户的一种简单方法

---

因此，Facebook Connect不应该与任何“重要”的东西一起使用。是吗？

不是。要偷你朋友的饼干，你需要物理访问机器，如果你有存储在那里的所有东西，你就容易受到攻击。Facebook不能也不应该做任何事情来阻止这种情况。

另一种选择是，在你的朋友上完厕所后，你可以偷他的钱包，用里面的现金贿赂他的女朋友，让他把Facebook密码给你，因此，他所有使用Facebook Connect的应用程序都会受到攻击。

那么你就有了绕过WiFi网络的问题，这会使“记住我”选项变得毫无用处。

为了破解Facebook帐户，你可以采用很多方法。 例如，您可以从学习一些基本的黑客方法（有数千种）开始，并尝试将它们结合在一起。 其中包括：

• 键盘记录器
• 拒绝服务（DoS\DDoS）
• 水坑攻击
• 假冒WAP
• 窃听（被动攻击）
• 网络钓鱼
• 病毒、特洛伊木马
• 点击劫持攻击
• 等

Ofc，互联网上有很多工具可以帮助你，有些是免费的（大部分是假的），有些是付费的（很少是假的）。比如荷兰有一个网站是免费的，它根据他们的安全保护为我破解了10个账户中的3个。你可以

---

祝你好运！

6.你的朋友不再是你的朋友了。：公平地说，物理访问任何框都意味着你拥有它，所以我认为这个问题是多余的。例如，你的朋友可能已经将浏览器设置为记住密码，而以明文形式打开和查看是微不足道的。即使系统/cookie确实检查了IP，你还不能吗欺骗IP？如果Facebook检查IP，则“记住我”不适用于IP每24小时更改一次的DSL连接。@Kalmi：很少有ISP使用如此短的窗口来循环IP，不管是否使用DSL。大多数ISP都将DHCP租约设置为接近无限期。此外，通过将cookie窃取到经过身份验证的会话中，就Web应用程序而言，您已经准备好劫持会话。记住，HTTP是无状态的，并且没有规则规定web应用程序上的一个会话不能跨多个IP地址移动。例如，我现在登录到gmail，今晚回家时，虽然我的IP已更改，但我仍将登录到gmail事件。如果我使用FB Connect而不是我的google id进行身份验证，我就不想再进行身份验证我相信facebook通过未加密的连接发送cookie。所以，比如WiFi就足以窃取cookie。不需要访问任何场所。