Fatal编程技术网
  • javascript/
  • Javascript 从电子邮件访问cookies?

Javascript 从电子邮件访问cookies?

javascript php email cookies

Javascript 从电子邮件访问cookies?,javascript,php,email,cookies,Javascript,Php,Email,Cookies,是否可以通过电子邮件访问Cookie?我担心的是,一个人可能仅仅通过发送电子邮件就窃取facebook登录cookies 我知道有可能在用户不知道的情况下将其重定向到url。例如,我曾经显示1x1 gif以将用户重定向到url(我使用它来创建电子邮件打开状态)。如果我在目标url上创建了一个恶意的js脚本,该怎么办:我能访问用户的cookie吗 或者换言之,如果电子邮件中有一个链接,用户单击该链接,目标网站是否能够访问用户的cookie 我读书;有人有关于这个问题的更多细节吗 @用户334562

是否可以通过电子邮件访问Cookie?我担心的是,一个人可能仅仅通过发送电子邮件就窃取facebook登录cookies

我知道有可能在用户不知道的情况下将其重定向到url。例如,我曾经显示1x1 gif以将用户重定向到url(我使用它来创建电子邮件打开状态)。如果我在目标url上创建了一个恶意的js脚本,该怎么办:我能访问用户的cookie吗

或者换言之,如果电子邮件中有一个链接,用户单击该链接,目标网站是否能够访问用户的cookie

我读书;有人有关于这个问题的更多细节吗

@用户3345621

谢谢你的回答,对我来说似乎是正确的。 但是,再次以facebook为例,我还有几个问题:

我可能错了,但我认为cookie加密在这种情况下没有帮助。 cookie加密将有助于隐藏密码,以防我访问 您的本地机器,并直接查看cookies。 但是,如果我使用加密的cookie,我将能够使用它们, 让facebook来做这项不可压缩的工作。 所以换句话说,我认为cookies是否加密并不重要, 只要应用程序(本例中的facebook)将为您解码它们

现在,关于cookie被重新创建这一事实的相同评论。 我认为这是使用session_regenerate_id函数的直接结果

但无论如何,我的理解(可能是错误的)是,即使重新创建cookie, 如果黑客向你发送恶意电子邮件,他将获得最新版本的cookies 无论如何,在我描述的技术中,你被重定向到一个恶意网站, 这样,该网站在打开时就可以访问当前的cookies(如果可能的话)

我可能不正确,因为我对应用程序安全性相当陌生

下面是我关于饼干的最佳镜头:

cookie是特定于域的(事实),当您有一个facebook cookie存储您的用户ID和电子邮件时(也许?),只有facebook域可以访问该cookie。此外,在大多数情况下,cookie中的信息,特别是在企业系统(如facebook)中,是加密的,在其他情况下,哈希被用来掩盖信息(某种事实)

因此,让我们以facebook为例,因为他们使用一种强加密格式(FACT)。例如,如果您能够获得用户的facebook cookie,那么您需要先对信息进行解密,以便对您有用。到那时,一个新的cookie已经生成了(该死的facebook adddicts)

关于安全问题,如果通过某种方式您能够获得不属于您的域的用户cookie,这将是一种黑客行为(do'h!),您需要检查是否有任何浏览器(是的,您应该利用浏览器)存在这种漏洞,或者自己寻找一个

因此,它们是:

  • 浏览器攻击,攻击特定浏览器
  • 如果cookie已加密,则对其进行解密(或反散列)
  • 所有这些都是因为饼干过期了
这个世界是你的。

我可能是不正确的,因为我对应用程序安全相当陌生

下面是我关于饼干的最佳镜头:

cookie是特定于域的(事实),当您有一个facebook cookie存储您的用户ID和电子邮件时(也许?),只有facebook域可以访问该cookie。此外,在大多数情况下,cookie中的信息,特别是在企业系统(如facebook)中,是加密的,在其他情况下,哈希被用来掩盖信息(某种事实)

因此,让我们以facebook为例,因为他们使用一种强加密格式(FACT)。例如,如果您能够获得用户的facebook cookie,那么您需要先对信息进行解密,以便对您有用。到那时,一个新的cookie已经生成了(该死的facebook adddicts)

关于安全问题,如果通过某种方式您能够获得不属于您的域的用户cookie,这将是一种黑客行为(do'h!),您需要检查是否有任何浏览器(是的,您应该利用浏览器)存在这种漏洞,或者自己寻找一个

因此,它们是:

  • 浏览器攻击,攻击特定浏览器
  • 如果cookie已加密,则对其进行解密(或反散列)
  • 所有这些都是因为饼干过期了
世界是你的。

我试图给我发一封电子邮件,上面有以下图片:

<img src="http://localwebsite/js.php" />
它将使用javascript发出警报(“某物”)

给自己发邮件, 我希望邮件客户端会打开一个web浏览器页面并打开js弹出窗口, 但事实并非如此

发生的事情是,因为这不是一个真正的图像, 我的邮件客户端(使用mac上的mail)确实显示了一个蓝色的方形感叹号, 表示他无法显示该图像。 即使我点击“加载图像”。 然后什么也没有发生: 我假设邮件客户端转到url并尝试在邮件中显示预期的图像, 但是因为没有图像,所以没有任何变化。 url根本没有在浏览器中打开,一切都是在后台完成的

在阅读更多关于javascript的电子邮件时,似乎一般来说,javascript根本不会被解释 在电子邮件中。 我也测试过:发送包含以下内容的电子邮件:

<script type="application/javascript">alert("pou")</script>

警报(“pou”)
邮件(mac)不执行脚本

所以要回答这个问题,

我相信黑客能用邮件做的唯一事情是:

  • 发送一个链接,然后如果你点击该链接,任何事情都可能发生
  • 创建一个他可以用来跟踪你是否打开邮件的图像
因此,如果你足够谨慎,邮件并不是一个大威胁。
我是个偏执狂…

我试图给我发一封电子邮件,上面有以下图片:

<img src="http://localwebsite/js.php" />
Whi