窃取 Web 会话 Cookie

对手可能会窃取 Web 应用程序或服务会话 Cookie 并使用它们以经过身份验证的用户身份访问 Web 应用程序或互联网服务，而无需凭据。Web 应用程序和服务通常使用会话 Cookie 作为用户登录网站后的身份验证令牌。 即使 Web 应用程序未被主动使用，Cookie 通常也会在较长时间内有效。Cookie 可以在磁盘上、浏览器的进程内存中以及到远程系统的网络流量中找到。此外，目标机器上的其他应用程序可能会在内存中存储敏感的身份验证 Cookie（例如，认证到云服务的应用程序）。会话 Cookie 可以用来绕过一些多因素身份验证协议。(引用: Pass The Cookie) 有几个例子表明恶意软件针对本地系统上的 Web 浏览器中的 Cookie。(引用: Kaspersky TajMahal April 2019)(引用: Unit 42 Mac Crypto Cookies January 2019) 对手还可能通过在网站中注入恶意 JavaScript 内容或依赖 User Execution 通过诱骗受害者在其浏览器中运行恶意 JavaScript 来窃取 Cookie。(引用: Talos Roblox Scam 2023)(引用: Krebs Discord Bookmarks 2023) 还有一些开源框架如 Evilginx2 和 Muraena 可以通过恶意代理（例如 Adversary-in-the-Middle）收集会话 Cookie，这些代理可以由对手设置并用于钓鱼活动。(引用: Github evilginx2)(引用: GitHub Mauraena) 在对手获取有效的 Cookie 后，他们可以执行 Web Session Cookie 技术登录到相应的 Web 应用程序。