網(wǎng)絡(luò)空間安全概論 實驗10 網(wǎng)絡(luò)瀏覽器取證實驗樣例3

實驗三網(wǎng)絡(luò)取證實驗?zāi)康?、學(xué)會使用網(wǎng)絡(luò)取證常用的工具；2、了解熟悉網(wǎng)絡(luò)取證所要搜集的信息；實驗內(nèi)容1、使用Cookies分析工具；2、使用上網(wǎng)歷史記錄分析工具；3、使用收藏夾工具；4、使用搜索引擎關(guān)鍵詞分析工具；5、使用網(wǎng)頁緩存分析工具；6、使用網(wǎng)頁離線瀏覽器；實驗步驟下載相應(yīng)的工具，解壓并且安裝相應(yīng)的軟件。打開相應(yīng)的分析監(jiān)控工具，查看相應(yīng)的瀏覽器信息，歷史記錄，收藏夾，搜索引擎關(guān)鍵詞，網(wǎng)頁緩存，網(wǎng)頁離線瀏覽器等。四、下載WebBrowserToolsPackage進(jìn)行取證：使用Cookies分析工具；Cookie，有時也用其復(fù)數(shù)形式Cookies。類型為“小型文本文件”，是某些網(wǎng)站為了辨別用戶身份，進(jìn)行Session跟蹤而儲存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過加密），由用戶客戶端計算機暫時或永久保存的信息。（簡單來說就是：儲存在用戶本地終端上的數(shù)據(jù)）舉例來說,一個Web站點可能會為每一個訪問者產(chǎn)生一個唯一的ID,然后以Cookie文件的形式保存在每個用戶的機器上。如果使用瀏覽器訪問Web,會看到所有保存在硬盤上的Cookie。在這個文件夾里每一個文件都是一個由“名/值”對組成的文本文件,另外還有一個文件保存有所有對應(yīng)的Web站點的信息。在這里的每個Cookie文件都是一個簡單而又普通的文本文件。透過文件名,就可以看到是哪個Web站點在機器上放置了Cookie(當(dāng)然站點信息在文件里也有保存)(1)Name/Value：設(shè)置Cookie的名稱及相對應(yīng)的值，對于認(rèn)證Cookie，Value值包括Web服務(wù)器所提供的訪問令牌

。(2)Expires屬性：設(shè)置Cookie的生存期。有兩種存儲類型的Cookie：會話性與持久性。Expires屬性缺省時，為會話性Cookie，僅保存在客戶端內(nèi)存中，并在用戶關(guān)閉瀏覽器時失效；持久性Cookie會保存在用戶的硬盤中，直至生存期到或用戶直接在網(wǎng)頁中單擊“注銷”等按鈕結(jié)束會話時才會失效。(3)Path屬性：定義了Web站點上可以訪問該Cookie的目錄。(4)Domain屬性：指定了可以訪問該Cookie的Web站點或域。Cookie機制并未遵循嚴(yán)格的同源策略，允許一個子域可以設(shè)置或獲取其父域的Cookie。當(dāng)需要實現(xiàn)單點登錄方案時，Cookie的上述特性非常有用，然而也增加了Cookie受攻擊的危險，比如攻擊者可以借此發(fā)動會話定置攻擊。因而，瀏覽器禁止在

Domain

屬性中設(shè)置.org、.com等通用頂級域名、以及在國家及地區(qū)頂級域下注冊的二級域名，以減小攻擊發(fā)生的范圍

[3]

。(5)Secure屬性：指定是否使用HTTPS安全協(xié)議發(fā)送Cookie。使用HTTPS安全協(xié)議，可以保護(hù)Cookie在瀏覽器和Web服務(wù)器間的傳輸過程中不被竊取和篡改。該方法也可用于Web站點的身份鑒別，即在HTTPS的連接建立階段，瀏覽器會檢查Web網(wǎng)站的SSL證書的有效性。但是基于兼容性的原因（比如有些網(wǎng)站使用自簽署的證書）在檢測到SSL證書無效時，瀏覽器并不會立即終止用戶的連接請求，而是顯示安全風(fēng)險信息，用戶仍可以選擇繼續(xù)訪問該站點。由于許多用戶缺乏安全意識，因而仍可能連接到Pharming攻擊所偽造的網(wǎng)站

。(6)HTTPOnly屬性：用于防止客戶端腳本通過document.cookie屬性訪問Cookie，有助于保護(hù)Cookie不被跨站腳本攻擊竊取或篡改。但是，HTTPOnly的應(yīng)用仍存在局限性，一些瀏覽器可以阻止客戶端腳本對Cookie的讀操作，但允許寫操作；此外大多數(shù)瀏覽器仍允許通過XMLHTTP對象讀取HTTP響應(yīng)中的Set-Cookie頭。首先使用本機：對ie瀏覽器cookie進(jìn)行取證：圖3.1圖3.2在文件夾中可以找到該cookie文件：圖3.3使用虛擬機進(jìn)行取證：圖3.4圖3.5可以發(fā)現(xiàn)在該cookie記錄中僅僅只有訪問百度的記錄，因為這是剛剛下載的谷歌瀏覽器。當(dāng)然也可以從網(wǎng)頁中獲取cookie：設(shè)置->開發(fā)者工具->Application->cookies圖3.6上網(wǎng)記錄分析工具利用該工具可以看到我們的上網(wǎng)記錄，可以看到該用戶習(xí)慣于使用谷歌瀏覽器，且常用搜索內(nèi)容與學(xué)習(xí)研究相關(guān)。圖3.7圖3.83、使用收藏夾工具圖3.9圖3.104、使用搜索引擎關(guān)鍵詞分析工具：圖3.11使用網(wǎng)頁緩存分析工具；下圖顯示的是一些緩存的內(nèi)容：圖3.12我們可以點開其中一個查看其內(nèi)容：圖3.13查看常用網(wǎng)站圖3.14查看已存儲的數(shù)據(jù)圖3.15網(wǎng)頁離線瀏覽器想要找到網(wǎng)頁離線瀏覽器的緩存記錄，我們首先需要找到Win10瀏覽器緩存文件夾。在控制面板->internet選項->設(shè)置中