網絡空間安全概論 實驗10 網絡瀏覽器取證實驗樣例3

實驗三網絡取證實驗目的1、學會使用網絡取證常用的工具；2、了解熟悉網絡取證所要搜集的信息；實驗內容1、使用Cookies分析工具；2、使用上網歷史記錄分析工具；3、使用收藏夾工具；4、使用搜索引擎關鍵詞分析工具；5、使用網頁緩存分析工具；6、使用網頁離線瀏覽器；實驗步驟下載相應的工具，解壓并且安裝相應的軟件。打開相應的分析監(jiān)控工具，查看相應的瀏覽器信息，歷史記錄，收藏夾，搜索引擎關鍵詞，網頁緩存，網頁離線瀏覽器等。四、下載WebBrowserToolsPackage進行取證：使用Cookies分析工具；Cookie，有時也用其復數(shù)形式Cookies。類型為“小型文本文件”，是某些網站為了辨別用戶身份，進行Session跟蹤而儲存在用戶本地終端上的數(shù)據(jù)（通常經過加密），由用戶客戶端計算機暫時或永久保存的信息。（簡單來說就是：儲存在用戶本地終端上的數(shù)據(jù)）舉例來說,一個Web站點可能會為每一個訪問者產生一個唯一的ID,然后以Cookie文件的形式保存在每個用戶的機器上。如果使用瀏覽器訪問Web,會看到所有保存在硬盤上的Cookie。在這個文件夾里每一個文件都是一個由“名/值”對組成的文本文件,另外還有一個文件保存有所有對應的Web站點的信息。在這里的每個Cookie文件都是一個簡單而又普通的文本文件。透過文件名,就可以看到是哪個Web站點在機器上放置了Cookie(當然站點信息在文件里也有保存)(1)Name/Value：設置Cookie的名稱及相對應的值，對于認證Cookie，Value值包括Web服務器所提供的訪問令牌

。(2)Expires屬性：設置Cookie的生存期。有兩種存儲類型的Cookie：會話性與持久性。Expires屬性缺省時，為會話性Cookie，僅保存在客戶端內存中，并在用戶關閉瀏覽器時失效；持久性Cookie會保存在用戶的硬盤中，直至生存期到或用戶直接在網頁中單擊“注銷”等按鈕結束會話時才會失效。(3)Path屬性：定義了Web站點上可以訪問該Cookie的目錄。(4)Domain屬性：指定了可以訪問該Cookie的Web站點或域。Cookie機制并未遵循嚴格的同源策略，允許一個子域可以設置或獲取其父域的Cookie。當需要實現(xiàn)單點登錄方案時，Cookie的上述特性非常有用，然而也增加了Cookie受攻擊的危險，比如攻擊者可以借此發(fā)動會話定置攻擊。因而，瀏覽器禁止在

Domain

屬性中設置.org、.com等通用頂級域名、以及在國家及地區(qū)頂級域下注冊的二級域名，以減小攻擊發(fā)生的范圍

[3]

。(5)Secure屬性：指定是否使用HTTPS安全協(xié)議發(fā)送Cookie。使用HTTPS安全協(xié)議，可以保護Cookie在瀏覽器和Web服務器間的傳輸過程中不被竊取和篡改。該方法也可用于Web站點的身份鑒別，即在HTTPS的連接建立階段，瀏覽器會檢查Web網站的SSL證書的有效性。但是基于兼容性的原因（比如有些網站使用自簽署的證書）在檢測到SSL證書無效時，瀏覽器并不會立即終止用戶的連接請求，而是顯示安全風險信息，用戶仍可以選擇繼續(xù)訪問該站點。由于許多用戶缺乏安全意識，因而仍可能連接到Pharming攻擊所偽造的網站

。(6)HTTPOnly屬性：用于防止客戶端腳本通過document.cookie屬性訪問Cookie，有助于保護Cookie不被跨站腳本攻擊竊取或篡改。但是，HTTPOnly的應用仍存在局限性，一些瀏覽器可以阻止客戶端腳本對Cookie的讀操作，但允許寫操作；此外大多數(shù)瀏覽器仍允許通過XMLHTTP對象讀取HTTP響應中的Set-Cookie頭。首先使用本機：對ie瀏覽器cookie進行取證：圖3.1圖3.2在文件夾中可以找到該cookie文件：圖3.3使用虛擬機進行取證：圖3.4圖3.5可以發(fā)現(xiàn)在該cookie記錄中僅僅只有訪問百度的記錄，因為這是剛剛下載的谷歌瀏覽器。當然也可以從網頁中獲取cookie：設置->開發(fā)者工具->Application->cookies圖3.6上網記錄分析工具利用該工具可以看到我們的上網記錄，可以看到該用戶習慣于使用谷歌瀏覽器，且常用搜索內容與學習研究相關。圖3.7圖3.83、使用收藏夾工具圖3.9圖3.104、使用搜索引擎關鍵詞分析工具：圖3.11使用網頁緩存分析工具；下圖顯示的是一些緩存的內容：圖3.12我們可以點開其中一個查看其內容：圖3.13查看常用網站圖3.14查看已存儲的數(shù)據(jù)圖3.15網頁離線瀏覽器想要找到網頁離線瀏覽器的緩存記錄，我們首先需要找到Win10瀏覽器緩存文件夾。在控制面板->internet選項->設置中