用户不退出网站是否存在安全风险?

信息安全 tls 验证 虚拟专用网 审计
2021-08-24 03:09:48

我没有退出 Twitter、Facebook、StackExchange 和我正在使用的大多数网站,这对我自己有安全风险吗?有人有可能劫持我的会话或对我的任何在线帐户造成损害吗?

对于我的情况,我通过运行 VPN 并尝试使用https://. 我知道很多用户不这样做,所以他们保持登录状态可能会有更大的风险,但对我来说,仍然可能存在风险。

1个回答

是的,存在风险 - 跨站点请求伪造。此攻击通过让您的浏览器(其中包含身份验证 cookie)向易受攻击的网站提交请求,从而忽略您对您与网站之间的通道应用的任何加密。

不过,为了您的利益,您必须查看一些有毒的内容才能触发攻击。受毒内容可能采用网络钓鱼电子邮件中的链接或提供带有恶意图像标签的网站的形式src

这不完全是会话劫持(攻击者看不到来自易受攻击的网站的响应),但它很接近。

https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29

其它你可能感兴趣的问题
上一篇浏览器在哪里存储 HTTP 身份验证详细信息 下一篇我可以隔离网络上的特定计算机吗?