密码,盗号,或者干脆从邮箱服务器入手。他用的便是刚才那位女同学提到的――跨站攻击的技术。”
“知道的同学呢,可能已经想到怎么回事了,但是我先不解释技术本身。就说这名老师,他平时上网都用自己固定的计算机和浏览器,登陆了邮箱之后没有经常退出,并且还选择了记录登录信息,下一次不用再次登陆。我们知道,一般网站在处理这种情况时,都会使用一种叫cookies的东西,将用户的登录信息记录下来。”
cookies是一个很常见的词汇,经常上网的年轻人不会对它陌生。所以胡乐说到这里,大部分人都能听懂。
“cookies里面记录的一般是我们的各种状态信息,比如在某个网站,什么时间登陆过,什么时间登陆失效,等等这些。所以每次,当你打开这个网站,网站就会优先读取浏览器里的cookies记录,如果登录仍然有效,你就不需要再输入用户名和密码。”
“这名盗卷子的人正是利用这一点。他将老师浏览器中的cookies记录获取下来,这个怎么获取呢?就是一个跨站脚本,放在老师浏览的网页里超级流氓战神全文阅读。比如建立一个虚假新闻页面,让老师去点击。一点击,页面里的javascript脚本文件就记录了他的cookies。甚至不需要破解,只要将这段记录放到盗卷者自己的浏览器中,当他再打开邮箱页面的时候,页面自动读取有效地cookies,便可以顺利登陆了。”
胡乐说完之后,喝了一口水,等台下的同学们渐渐反应,明白过来怎么回事,声音越来越大,他才笑了笑。
“光说不练大家听着也无聊,我来给大家演示一下。”
接下来,胡乐很是麻利地演示了怎样利用javascript脚本进行攻击,怎么将用户信息发送到黑客的服务器上,甚至是邮箱里。他甚至用这样的方法,去攻击了一个老师的邮箱。当成功进入,大屏幕上显示出这位老师的邮箱内容时,全场爆发出了热烈的掌声。
有人窃窃私语,讨论这是不是真的老师邮箱,还是为了演示制作出来的假邮箱。如果是真的就刺激了。
“哈哈,大家不用激动,这确实是真邮箱,不过我之前已经和这位老师商量好了,里面既没有成绩单,也没有卷子。而且这种攻击方式所利用的漏洞,也已经被补上了。”
(本章未完,请点击下一页继续阅读)