不用密碼也能登錄：攻擊者如何利用 Facebook Cookies 登錄帳號

為何 Session Cookie 是帳號安全的核心環節

現代網站登入系統多以「Session 機制」為主，Facebook 也不例外。當使用者成功登入後，伺服器會在瀏覽器中設置一組 Session Cookie 作為用戶身份識別依據。在未登出的情況下，只要該 Cookie 存在，任何請求都會被視為該用戶發出。

程序員阿凱 Telegram:@Ti969

攻擊者若能成功取得這些 Cookie，即可在不知密碼、不觸發驗證的情況下，完全接管受害者帳號。這類攻擊被稱為 Session Replay（會話重播攻擊），是瀏覽器安全與資安防禦中非常現實也高風險的威脅模型。

Cookie 取得方式：從簡單釣魚到進階 XSS

攻擊 Facebook 使用者的第一步，是取得其有效的 Session Cookie。以下是幾種常見攻擊向量：

1. 社交工程釣魚頁

透過模擬 Facebook 登入頁，誘導使用者輸入帳密，再自動轉跳至真實頁面。此方式若結合代理中介，可攔截 Cookie 回應，或直接利用代理擷取登入後的 Session。

2. 嵌入式 iFrame 加偽造登入流程

Facebook 某些登入情境下允許 iFrame 嵌入（如第三方登入 SDK 整合錯誤配置），攻擊者可藉此製造類似登入場景並嘗試從封包或本地端讀取登入資訊。

3. XSS 攻擊植入 Cookie 擷取腳本

若受害者訪問了遭植入惡意 JS 的網站（或是其瀏覽器中有漏洞），攻擊者可以透過 document.cookie 等方式擷取 Cookie，並傳送至自身伺服器。這類方式較為高階，常見於攻擊已知漏洞網站或個人部落格。

4. 惡意瀏覽器擴充功能

若使用者安裝了惡意插件，則該擴充程式可讀取瀏覽器內存中的 Cookie、LocalStorage，或直接操作頁面並竊取登入憑證，具有極高成功率。

Session 重播：如何使用取得的 Cookie 模擬登入

一旦成功取得 Session Cookie，攻擊者可以透過任何支援 HTTP 請求的客戶端工具（如 Curl、Postman、Headless 瀏覽器等）模擬登入狀態。

關鍵流程如下：

1. 攻擊者將 Cookie 植入自己的瀏覽器或自動化工具中

2. 發送包含 Cookie 的 HTTP Request 至 Facebook 任一子系統（例如 inbox、notifications）

3. 若該 Session 未過期，Facebook 將視攻擊者為該名合法使用者

4. 攻擊者即可執行如讀訊息、發文、取得好友清單等操作，甚至變更密碼（若未啟用 2FA）

此過程中不會觸發登入通知或驗證碼，尤其當攻擊者模擬相同地區 IP 或透過代理鏈混淆來源。

反偵測與隱匿操作技巧

高階攻擊者會採取進一步手段，防止被發現並延長控制時間：

• 模擬使用者行為（如慢速瀏覽、定時互動）

• 綁定 Proxy 於相近地理區域，減少風險登入警報觸發

• 暫不更改密碼與裝置資訊，避免系統通報

• 建立副帳號群組或導流鏈接作為跳板，減低主帳號曝光

這些技術在實戰中已被多次觀察於資訊竊取與社群詐騙活動中，例如冒用帳號傳送釣魚連結、加入社群或發表帶有惡意鏈結的貼文。

防禦觀點：從開發者與使用者兩側思考

對開發者而言：

• 加強 Cookie 安全屬性設定（HttpOnly, Secure, SameSite）

• 建立行為異常監控機制，例如登入裝置與 IP 偵測

• 限制長期 Session 存在時間，並強制高敏感操作驗證

對使用者而言：

• 開啟雙重驗證並定期檢查已登入裝置

• 避免使用未知 Wi-Fi 或不安全網站

• 不安裝可疑插件與應用程式

• 經常清除瀏覽器 Cookies 以防過期 Session 被濫用

#Facebook安全#Session攻擊#Cookie重播#帳號接管技術#社交平台滲透#XSS風險#資安實戰#瀏覽器漏洞分析