【51CTO.com原創(chuàng)稿件】雅虎最新公布的消息顯示：在過去兩年間，有入侵者進行“”攻擊，造成3200萬賬戶泄露，用戶可能被竊取的信息包括姓名、郵箱、哈希密碼、電話號碼、生日和一些加密或者未加密的安全問題和答案。。特別要說明的是，此次泄露事件是獨立存在的，和前幾個月爆出的兩次大規(guī)模數(shù)據(jù)泄露不一樣（2016年9月曝5億賬戶泄露，12月曝10億賬戶泄露）。

雪上加霜的是，雅虎接二連三的安全事故已經(jīng)嚴重打擊了雅虎對用戶的信譽，就在上個月雅虎以從起初估值48億美元到最終同意以3.5億美元的超低價被Verizon通信公司收購。

[[184681]]

來自國家背景的黑客？

雅虎是在周三的一份監(jiān)管機構(gòu)文件中提到，本次cookie偽造攻擊事件和“具國家背景的黑客”有關(guān)，和雅虎于2014年發(fā)生的一次5億賬戶被竊的事件幕后攻擊者應(yīng)該是同一波人。

雅虎認為未經(jīng)授權(quán)的第三方訪問了公司的專屬代碼，來學(xué)習(xí)如何偽造相應(yīng)cookie。外部鑒定專家已經(jīng)確定有將近3200萬賬戶在2015和2016年間遭到cookie偽造攻擊。其中的某些入侵行為，與2014年的安全事件相關(guān)國家背景支持的攻擊者有關(guān)。

何為cookie偽造攻擊？

通過cookie偽造攻擊（Forged cookies），攻擊者在無需輸入密碼的情況下，就能訪問受害者賬戶。利用偽造的cookie，入侵者無需竊取密碼，只需偽造一個web瀏覽器token即cookie來誘使瀏覽器相信雅虎用戶已經(jīng)登錄。

Cookie如何防偽造？

用戶登錄的信息為了節(jié)省服務(wù)器端資源一般是要保存到客戶端的，這時候就會用到Cookie，但是大家都知道Cookie是可以被偽造的，那怎么防止被偽造呢？

其實也很簡單，可以多添加一個userkey的cookie，該值為userId或者userName加上一個服務(wù)器端固定的字符串，然后在經(jīng)過MD5加密，MD5(userId+"mysite")或者MD5(userName+"mysite")，服務(wù)器端在判斷權(quán)限時，先判斷userkey是否正確，如果正確再做其他操作。 

這樣做在很大程度上杜絕了Cookie偽造導(dǎo)致的網(wǎng)站安全問題，當然如果用戶覺得還不夠安全，認為MD5可以破解，那完全可以用多重加密的方式，如：sha，base64和MD5等混合使用，黑客在不知道用戶加密算法和固定字符串的情況下很難算數(shù)userkey。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】

【編輯推薦】