利用cookie机制回验证用户登录是不是有漏洞
程序员文章站
2022-06-14 20:21:49
...
利用cookie机制来验证用户登录是不是有漏洞?
问个很弱的问题!
如果A访问某网站,网站把加密的token写入它的cookie,以后访问时A带上cookie里面的token都可以了,这样的话,如果我把A浏览器中的这个token通过某种手段放到我的浏览器cookie里面,忌不是就可以伪造成A的身份了???
是不是有漏洞,或大家指导一下,这个登录验证正确的手段是怎样的,请赐教,谢谢!
------解决方案--------------------
你所說的基本屬實,你看看這個
http://bbs.phpchina.com/thread-217757-1-1.html
------解决方案--------------------
那得关键看这个加密是怎么个加密法了...
------解决方案--------------------
所以才有“cookie欺骗”
------解决方案--------------------
没错,这就是cookie欺骗,所以要小心被不良网站截获cookie。
qq有个好友印象的功能,我曾经抓包分析过,它的身份验证也是用cookie。然后找了个朋友,把他qq的cookie拷贝过来,模拟请求对别人进行好友印象评价。结果就这样成功了。这是几年前的事了,不知道现在它是否改了验证机制。
以前dvbbs也曝出过一个非常单纯的cookie验证漏洞。他直接把每个用户的所有信息,包括权限,就放在cookie中了,而且没加密,就那么简单的将用户id、密码、权限等打乱顺序排列了一下。然后只需要找到那个标识权限的字符,修改为管理员级别的,任何人都是管理员了。
------解决方案--------------------
单纯靠cookie是要出问题的。
问个很弱的问题!
如果A访问某网站,网站把加密的token写入它的cookie,以后访问时A带上cookie里面的token都可以了,这样的话,如果我把A浏览器中的这个token通过某种手段放到我的浏览器cookie里面,忌不是就可以伪造成A的身份了???
是不是有漏洞,或大家指导一下,这个登录验证正确的手段是怎样的,请赐教,谢谢!
------解决方案--------------------
你所說的基本屬實,你看看這個
http://bbs.phpchina.com/thread-217757-1-1.html
------解决方案--------------------
那得关键看这个加密是怎么个加密法了...
------解决方案--------------------
所以才有“cookie欺骗”
------解决方案--------------------
没错,这就是cookie欺骗,所以要小心被不良网站截获cookie。
qq有个好友印象的功能,我曾经抓包分析过,它的身份验证也是用cookie。然后找了个朋友,把他qq的cookie拷贝过来,模拟请求对别人进行好友印象评价。结果就这样成功了。这是几年前的事了,不知道现在它是否改了验证机制。
以前dvbbs也曝出过一个非常单纯的cookie验证漏洞。他直接把每个用户的所有信息,包括权限,就放在cookie中了,而且没加密,就那么简单的将用户id、密码、权限等打乱顺序排列了一下。然后只需要找到那个标识权限的字符,修改为管理员级别的,任何人都是管理员了。
------解决方案--------------------
单纯靠cookie是要出问题的。
相关文章
相关视频
专题推荐
-
独孤九贱-php全栈开发教程
全栈 170W+
主讲:Peter-Zhu 轻松幽默、简短易学,非常适合PHP学习入门
-
玉女心经-web前端开发教程
入门 80W+
主讲:灭绝师太 由浅入深、明快简洁,非常适合前端学习入门
-
天龙八部-实战开发教程
实战 120W+
主讲:西门大官人 思路清晰、严谨规范,适合有一定web编程基础学习
网友评论
文明上网理性发言,请遵守 新闻评论服务协议
我要评论