不安全的Cookie

最新推荐文章于 2024-05-16 09:24:58 发布
最新推荐文章于 2024-05-16 09:24:58 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: Others

浏览器 cookie 一直用于保存网站用户的  一些不敏感信息 如  访问网站的主题风格  用户别名   而用户登录一般都使用的是session  但是 当用户量达到一定的规模时  使用session 就会给服务器增加很多负担  所以大型的网站都会使用 cookie 来保存用户登录信息  一些开源的 cms  论坛程序 也是如此
几乎每本网页编程的书都会说 cookie 不安全  但都没有细讲其原因   最近在做一个程序时 想到这个问题   就打算来分析一下
基于 cookie  机制  的访问流程

用户首次登陆后生成 用户cookies 设定有效期

用户再次访问判断是否存在cookie

再根据cookie  的用户信息进行判断  与数据库比对 是否合法   有的程序可能不会再次验证
存在cookies  就可以访问

登录成功

其中的问题在于 这个cookie 不是唯一的   没法限定只能在一台电脑使用

如果把登录后的cookie内容 全部复制到另一台电脑的浏览器   再访问该网站 就可能视为已登录了
我在人人网 做了下尝试
用 chrome 下 登录了 renren.com   在用chrome 插件 Edit This Cookie 查看到了所有的cookies

cookies1.png

在另一台电脑上 用firefox   访问renren.com  用FF 插件 firebug + firecookie  新建所有cookie

QQ截图20111112130153.png

登录成功   ...

silkcity
关注
专栏目录
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
安全漏洞: 不安全cookie传输
阿强的博客
04-26 2311
漏洞危害: 1、用户名和密码保存在cookie中,易被窃取,且密码可被还原成明文信息; 2、会话cookie不包含secure属性,因此注入站点的恶意脚本可能访问此cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在后续攻击中用于身份盗窃或用户伪装。 防护建议: 1、敏感数据如非必要,不要利用cookie传递交换。 2、密码等敏感数据传输时应加密处理。 3、设置cooki...
黑客能利用不安全cookies劫持你的WordPress博客
luyong3435的专栏
05-28 932
Everywhere 和 Privacy Badger Firefox 维护者 Yan Zhu 发现了 WordPress 的一个安全漏洞,该漏洞将允许黑客劫持你的 WordPress 博客。她发现一个重要的 cookies“wordpress_logged_in”在输入有效的用户名和密码后通过 HTTP 明文发送到 WordPress 的一个认证端点。 也就是说,你可以拷贝这个 cooki
Cookie在网站登录所带来的安全隐患及解决办法
Echo_Ana的博客
09-22 8471
最近几天屡次出现登录CSDN账户登陆问题,具体的问题是:在以往保留的正确的账号和密码的界面上自动登录,登录到了一个不知名的账号上。 于是我便开始寻找正确的解决方案之路: 1. 在账号输入界面重新输入自己的账号和密码,但是都会出现相同的问题。 2. 将浏览器的历史记录给清除掉,也依旧不能解决问题 3. 最后我将浏览器里的上网痕迹给设置清理了一下,添加了清理Cookies这一项,结果再进入登录
Cookie安全性问题
01-19 512
Cookie的目的是为用户带来方便,为网站带来增值,一般情况下不会造成严重的安全威胁。Cookie文件不能作为代码执行,也不会传送病毒,它为用户所专有并只能由创建它的服务器来读取。另外,浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4...
cookie安全性问题
resilient的博客
12-25 1万+
什么是cookie 指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密)。(注:此定义来自百度百科) cookie对于登录的效果 排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站。 cookie的生命周期 创建cookie的时候,会给cooki...
php用户登录之cookie信息安全分析
10-22
本文将深入探讨如何确保Cookie中的信息安全,主要关注加密和令牌保护两种策略。 首先,Cookie信息加密是一种基本的安全措施,目的是防止未经授权的用户获取和篡改Cookie内容。文章中提到的加密函数`authcode`是一个...
深入分析Cookie安全性问题
01-19
Cookie文件不能作为代码执行,也不会传送病毒,它为用户所专有并只能由创建它的服务器来读取。另外,浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB,因此,Cookie不会...
cookie-twist:Java安全cookie,带有签名的转折
05-16
您是否听说过Tornado Web框架中的安全cookie处理? 最后有个转折! >▽ 甚至从早期发行版开始,就不仅仅通过对Cookie的值进行设置cookie的,以防止伪造。 cookie-twist库旨在通过构成一个普通的旧对象在Java中...
解决java后台登录前后cookie不一致问题
08-31
然而,有时会出现“登录前后Cookie不一致”的问题,这可能会影响用户体验或引发安全性问题。本文将探讨这个问题的原因以及两种可能的解决方案。 **问题分析** 登录前后Cookie不一致的问题可能由以下几个原因引起:...
Cookie安全问题与防范
X先生说
04-21 2467
前言 Cookie 往往用来存储用户的某些相关信息,例如身份,配置等。Cookie 使用起来非常简单和方便,然而如果不加注意,它又可能成为我们网站的安全隐患,带来极大的风险。 那么不正确地使用 Cookie 有哪些安全问题呢? Cookie 安全问题 Cookie篡改 这是最容易出现的情况,也就是直接修改 Cookie 的内容。我们知道,Cookie 是存储在客户端的,所以里面的内容可以通过浏览器...
安全科普:使用Cookie会导致哪些安全问题?
chiansec_的博客
01-12 9848
0x01 Cookie的前世今身 Cookie指某些网站为了辨别用户身份而储存在用户本地客户端上的数据。 因为HTTP协议是不保存用户状态的,这使得用户在交互式的web应用中体验非常差。 在一个网上购物的场景中,用户向购物车添加了一些商品,最后结账时,由于HTTP的无状态性,不通过额外参数,服务器并不知道哪位用户购买了哪些商品。在这种场景下,服务端可通过设置或读取Cookie中包含的信息,维护用户的会话状态。 0x02 由Cookie延伸出的漏洞 在这篇文章中,我们将列出各种攻击.
COOKIE安全与防护
热门推荐
cheeseandcake的博客
05-28 1万+
目     录   摘要 关键词 一、 引言  二、 COOKIE概述  三、 COOKIE安全分析  四、 COOKIE惯性思维  五、 COOKIE防护  六、 总结  七、 参考文献: 15 摘要:Cookie是一小段文本信息,只能保存字符串,伴随着用户请求和页面在Web服务器和浏览器间传递,用来保持Web中的回话状态和缓存信息,记录用户的状态。Cooki
全面了解 Cookie的传递流程、编程实现及安全问题
肄若芸(yiruoyun)的专栏
11-23 2204
全面了解 Cookie的传递流程、编程实现及安全问题     Cookie在英文中是小甜品的意思,而这个词我们总能在浏览器中看到,食品怎么会跟浏览器扯上关系呢?在你浏览以前登陆过的网站时可能会在网页中出现:你好XX,感觉很亲切,就好像是吃了一个小甜品一样。这其实是通过访问你主机里边的
Cookie有哪些安全隐患,如何防范?
最新发布
长风破浪会有时的博客
05-16 687
首先,我们要明白Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名、喜欢的设置等。:在公共网络上,比如咖啡馆、图书馆的WiFi,我们的信息更容易被黑客窃取。:首先,我们要为我们的账户设置一个复杂且独特的密码,这样即使黑客偷走了我们的Cookie,他们也很难猜出我们的密码。:我们要确保我们使用的浏览器和访问的网站是安全的,它们会采取额外的措施来保护我们的Cookie和信息。:黑客可能会通过偷走我们的Cookie来假冒我们的身份,进入我们的账户,窃取我们的个人信息。
彻底理解cookie和session,不信来打我
老骆驼的博客
10-31 290
场景描述 最近公司的管理系统老是自动掉线,而且这种情况是随机的,不是固定某个时间掉线,也不是固定次数掉线,死活找不到原因,为此特意大量查询资料以及自己的亲自实践。特此总结。 ps:框架采用的是Thinkphp5.1开发。 cookie 英文翻译小甜饼,从字面翻译看不出对于web开发有啥帮助。 淡出的说cookie就是存储在客户端浏览器里面的key-value值,从哪里可以看到呢 每一个key-value 都是cookie,为啥说cookie安全呢,因为他对用户是可见的,用户可以自动修改这个值。 cook
【go】结合一个go开源项目分析谷歌浏览器cookie为什么不安全 附go项目导包失败怎么解决教程
孟秋与你的博客
02-16 846
本文创作背景 源于谷歌浏览器提示密码被泄露 并且某站很快收到了异地企图登录的提醒。当即怀疑是不是谷歌浏览器保存的密码不安全,最后查阅诸多资料 并找到一个go语言编写的开源项目进行研究,虽然最终不能确定密码是如何泄露的 但研究结论还是让人不由感慨互联网的不安全
了解cookie才会知道网络有多不安全,莫嫌每次登录都要输入账户密码
程宇寒
05-23 695
Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于RFC2109(已废弃),最新取代的规范是RFC2965。基本信息Cookie最早是网景公司的前雇员LouMontulli在1993年3月的发明。Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key...
cookie为什么不安全
05-26
Cookie本身并不是不安全的,但是它们可以被滥用或攻击者利用。以下是一些Cookie可能存在的安全问题: 1. CSRF攻击:攻击者可以使用在受害者浏览器中存储的Cookie来模拟用户行为,例如发表评论、转账等。 2. XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值