当心！黑客拿你Cookie“当粉丝”

前不久一个新闻说“新三板公司涉窃30亿条个人信息 非法操控微博加粉”，其实现的原理便是该公司在与正规运营商合作中，会加入非法软件清洗流量、获取用户Cookie。而其自营账号的粉丝和关注中，多是在用户未知情情况下账号被非法操控后强行加粉或关注。这便再次牵引出另外一个重要的安全点，登录你的账号不再必须知道账号密码，有了Cookie也可以实现登录。

01

我在这里简单介绍下什么是Cookie：

Cookie （储存在用户本地终端上的数据）指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据（通常经过加密）。

Cookie 技术产生于 HTTP 协议在互联网上的急速发展。随着互联网的深层次发展，带宽等限制不存在了，人们需要更复杂的互联网交互活动，就必须同服务器保持活动状态。于是，在浏览器发展初期，为了适应用户的需求，技术上推出了各种保持 Web 浏览状态的手段，其中就包括了 Cookie 技术。Cookie 在计算机中是个存储在浏览器目录中的文本文件，当浏览器运行时，存储在 RAM 中发挥作用 （此种 Cookie 称作 Session Cookies），一旦用户从该网站或服务器退出，Cookie 可存储在用户本地的硬盘上。

02

既然Cookie可以实现登录，我们使用python编程语言来实现它。首先使用mechanize库模拟浏览器进行访问：

import mechanize

br = mechanize.Browser() # initiating the browser

br.addheaders = [

('User-agent',

'Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.11)Gecko/20071127 Firefox/2.0.0.11')

]

br.set_handle_robots(False)

br.set_handle_refresh(False)

对开启的浏览器进行相关设置

完成Cookie登录的函数：

def getcodeandlinks(url, str1):

Cookies = str(str1).split('; ')

br.open(url)

for Cookie in Cookies:

br.set_Cookie(Cookie)

br.open(url)

code = br.response().read()

linktxtnema = './soucode/'+'1.txt'

with open(linktxtnema,'w') as f:

f.write(str(code))

f.close()

print br.title()

对脚本进行测试

然后查看返回的源代码：

虽然可以在浏览器中设置禁用Cookie，或者删除Cookie。但大部分的人为了便利会使用Cookie，这种情况下不仅需要各大运营商的自律，更加需要国家法律的切实保护。希望这类案件发生之后能够切实的保护个人信息，也能够激起民众保护个人信息的意识。