Firesheep是西雅圖的一位軟件開發(fā)人員Eric Butler編寫的一個火狐瀏覽器插件。他說，他編寫這個擴(kuò)展功能是為了展示在某些網(wǎng)站(如Twitter、Facebook、Flickr、Tumblr和Yelp)中的安全漏洞。這個擴(kuò)展功能允許人們以Cookie的方式查看在公共網(wǎng)絡(luò)上交換的信息。當(dāng)人們登錄Firesheep數(shù)據(jù)庫中存儲的26個網(wǎng)站的時候，他們的信息就容易被竊取。

在隱私保護(hù)人士憤怒之前，這個黑客工具還不是那樣壞。因為Firesheep使用從Cookie中收集的信息，它不會向任何探聽者泄露密碼，僅僅是一個人的用戶名和進(jìn)程編號ID。因此，雖然人們也許會看到敏感的信息(如這個人的Facebook賬戶)，但是，他們不能做需要密碼的任何事情(例如，在亞馬遜網(wǎng)站，他們不能購買任何商品或者訪問信用卡信息)。

而且，F(xiàn)iresheep僅限于破解在同一個網(wǎng)絡(luò)上的人。因此，如果你在一個有密碼保護(hù)的網(wǎng)絡(luò)上，只有在那個網(wǎng)絡(luò)上的人才能夠得到你的信息。當(dāng)然，這意味著當(dāng)你在一個開放的或者公共WiFi網(wǎng)絡(luò)上的時候，你應(yīng)該格外小心。

下載鏈接：http://down.51cto.com/data/169547

更多安全工具>>進(jìn)入專題

更多網(wǎng)管軟件>>進(jìn)入專題

黑客可以用Firesheep竊聽沒有加密的無線網(wǎng)絡(luò)上的數(shù)據(jù)，并可以竊取那些登錄到流行站點上的其它用戶的會話。黑客用這個工具就可以訪問用戶訪問流行網(wǎng)站時所使用的賬戶，如大名鼎鼎的Facebook賬戶等。其實，該工具就是利用了一個業(yè)內(nèi)人士都熟知的一個漏洞：會話支持。因為到目前為止，還沒有完全解決這個漏洞。

在本文中，筆者將探討Web認(rèn)證背后的機(jī)制，因為正是這種認(rèn)證使得會話劫持可以成功。還要討論Firesheep如何利用這些漏洞，最后文章還要討論網(wǎng)站管理員、網(wǎng)站開發(fā)人員、終端用戶可以采取的保護(hù)措施。

WEB認(rèn)證基礎(chǔ)知識

1、用戶訪問需要認(rèn)證的網(wǎng)站。

2、用戶提供一個用戶名和口令進(jìn)行驗證。

3、網(wǎng)站驗證用戶口令，如果通過，則準(zhǔn)許用戶登錄進(jìn)入，并將一個cookie提供給用戶的瀏覽器。此cookie用于唯一的標(biāo)識會話。

4、用戶繼續(xù)訪問網(wǎng)站。在用戶請求一個新網(wǎng)頁時，瀏覽器都會發(fā)送cookie和用戶請求，提醒Web服務(wù)器：該請求是前面的認(rèn)證連接的一部分。

在多數(shù)情況下，Web開發(fā)人員和網(wǎng)站管理員都會使用HTTPS加密來保護(hù)這個過程的第二步，他們都知道如果其它人員能夠訪問其他用戶的用戶名和口令，就可以輕易地獲得訪問權(quán)。在許多情況下，他們會轉(zhuǎn)而使用一個不加密的HTTP連接，以便于實現(xiàn)Web通信的其余部分，其中也包括cookie的交換。

會話劫持攻擊和Firesheep

下面談?wù)剷捊俪止?。如果竊聽者成功地截獲了發(fā)生在第四步的任何通信，他就可以輕易地訪問cookie。一旦知道了cookie的內(nèi)容，竊聽者就可以偽造一個HTTP請求，使用cookie訪問用戶的賬戶。

許多大名鼎鼎的網(wǎng)站（包括Facebook等社交網(wǎng)站）都易于受到這種攻擊的危害。但網(wǎng)絡(luò)銀行及一些電子商務(wù)站點會加密其所有的通信。劫持社交網(wǎng)絡(luò)站點的會話對一般人而言根本沒有什么實際意義。

希望竊取他人會話的家伙首先都需要連接到一個開放的無線網(wǎng)絡(luò)，再啟動Firesheep，然后等著有漏洞的用戶出現(xiàn)在屏幕上。如果出現(xiàn)了一個有吸引力的目標(biāo)，攻擊只需單擊他的名字，就可以完全訪問該用戶的會話。

防御Firesheep等會話劫持攻擊

防御Firesheep及其它會話劫持攻擊的最佳防線在于WEB開發(fā)人員和WEB服務(wù)器的管理人員。如果你開發(fā)的WEB應(yīng)用程序依賴于cookie來實現(xiàn)會話管理，就要確保以一種安全方式來管理會話。下面介紹幾個方法：

1、僅通過SSL來發(fā)送cookie。如果你要求瀏覽器在傳輸之前加密cookie，在傳輸中就不易遭受攻擊。

2、要限制能夠利用cookie的應(yīng)用程序。你還應(yīng)當(dāng)設(shè)置cookie，要盡可能地限制其使用。至少，要將cookie設(shè)置為僅對可信域中的系統(tǒng)可用。理想情況下，還應(yīng)僅允許可信域中的特定服務(wù)器訪問這些cookie，還有設(shè)置路徑（path）選項，僅準(zhǔn)許特定的應(yīng)用程序可以訪問cookie。

3、限制cookies僅能使用HTTPS。你還可以使用httponly標(biāo)記，要求瀏覽器僅能通過HTTP/HTTPS直接將cookie提交給服務(wù)器。這會防止攻擊者通過JavaScript攻擊訪問cookie。

如果你是一位終端用戶，你可能無法控制cookies的配置方法，但你可選擇下面的一些措施：

1、限制不提供HTTPS連接的網(wǎng)站的使用。

2、通過VPN建立連接。如果你在一個有風(fēng)險的地方上網(wǎng)，并且擔(dān)心竊聽者會執(zhí)行會話劫持攻擊，可以試著連接到工作場所的VPN（虛擬私有網(wǎng)絡(luò)），并使用此連接來加密你的網(wǎng)絡(luò)通信。

結(jié)束語

Firesheep所代表的絕不僅僅是一種軟件威脅。它以一種WEB應(yīng)用程序執(zhí)行會話管理的方式突顯了一種底層漏洞。雖然有一些臨時的解決方案可以幫助企業(yè)限制這種工具所造成的短期損害，但WEB應(yīng)用程序社團(tuán)應(yīng)當(dāng)緊密協(xié)作，并開發(fā)可以解決會話劫持攻擊的長期解決方案。否則，在下一個黑客工具出現(xiàn)之后，我們依舊容易遭受攻擊。