PHP开发安全问题之Cookie 安全问题，网络安全面试题2024基础

最新推荐文章于 2024-09-15 20:34:10 发布

erthre

最新推荐文章于 2024-09-15 20:34:10 发布

阅读量496

点赞数 15

分类专栏： 2024年程序员学习文章标签：安全 php web安全

本文链接：https://blog.csdn.net/erthre/article/details/137785452

版权

2024年程序员学习专栏收录该内容

287 篇文章 0 订阅

订阅专栏

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

我们可以通过浏览器的开发者工具，在Application页面中查看浏览器存储的Cookies信息。

通常我们会在Cookies中记录：

会话状态管理（如用户登录状态、购物车、游戏分数或其它需要记录的信息）
个性化设置（如用户自定义设置、主题等）
浏览器行为跟踪（如跟踪分析用户行为等）

以上这些数据不可能通过链接参数进行传递，因此 Cookies 就是一个很好的容器。

那Cookies又会发生什么安全问题呢？

01 CSRF 攻击

CSRF：跨站请求攻击，简单地说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品），也可以这么理解：使已登陆用户在不知情的情况下执行某种动作的攻击手段。

举个例子，一家银行用以运行转账操作的 URL 如下：

http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

那么，一个恶意攻击者可以在另一个网站上放置如下代码：

如果有账户名为 scar 的用户访问了恶意站点，而她之前刚访问过银行不久，登录信息尚未过期，导致发起请求后后端以为是用户正常操作，于是进行扣款操作，那么她就会损失 1000 资金。通过设置 sameSite 可以防止跨域发送 Cookie，抵御 CSRF。

02 XSS 攻击

跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

说得简单一点，在上面的案例中，我们介绍过，Cookie可以用来存储用户的登录信息，自己的登录信息，可以直接通过开发者工具查看，但是我们没有办法直接获取别人的Cookie信息，而XSS攻击，就是希望通过恶意脚本获取其他用户的个人信息，因此，Cookie的安全问题，同样不可小视。

XSS 容易引起的安全问题：

网络钓鱼盗取各类用户信息、账号、银行卡信息等。信息窃取窃取 Cookie，获取用户隐私信息，利用用户身份进一步对网站执行操作，如 Web 管理员 Cookie 泄露，导致攻击者非法登录管理平台。

劫持会话执行任意操作，如进行非法转账、发送电子邮件等。流量劫持刷流量、强制弹出广告页面等。恶意操作任意篡改页面信息、删除文章等。 DDoS 攻击控制受害者机器向其他网站发起攻击，针对同一目标进行大量的客户端攻击访问。获取客户端信息获取用户的浏览历史、真实IP、开放端口等。病毒传播传播跨站脚本蠕虫、网页挂马，非法提升用户权限，使攻击者可能得到更高的权限。结合其他漏洞进行攻击如 CSRF 漏洞，实施进一步攻击，它具有前端页面的全部权限。