Cookie欺骗
通过Burpsuite的监听抓包后修改admin的值返回请求数据包即可
(没弄明白为何在burpsuite修改了admin的值刷新了页面就成功了)
题目本身不难,有意思的是关于Cookie欺骗
其他的相关攻击方式好像还有SQL注入,XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等,日后有空一一了解
Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息
cookie机制是在浏览网页的时候,服务器将你的登录信息,浏览信息等发送给用户计算机并保存为一个文本文件。当你下一次访问这个网站的时候,就能读取上一次你的记录,从而作为免去登录的一种“通行证”,而因此也存在了漏洞,可以绕过验证直接登录到后台。
暂时还没能实际操作,过两天自己做个登录的网站试试。