系统安全实验——cookie

最新推荐文章于 2023-11-20 18:39:39 发布
最新推荐文章于 2023-11-20 18:39:39 发布
阅读量456 收藏
点赞数 2
文章标签: 网络 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/it_girl_xyx/article/details/131006840
版权

题目要求

Cookie 可以翻译为“小甜品,小饼干” ,Cookie 在网络系统中几乎无处不在,当我们浏览以前访问过的网站时,网页中可能会出现 :你好 XXX,这会让我们感觉很亲切,就好像吃了一个小甜品一样。这其实是通过访问主机中的一个文件来实现的,这个文件就是 Cookie。在 Internet 中,Cookie 实际上是指小量信息,是由 Web 服务器创建的,将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据,而这些数据通常会经过加密处理。

提示:找到靶机的登录界面,分析里面的Cookie信息以及请求和相应的头部信息

 解题步骤

1. 浏览器访问 http://ip/index.php

2.查看源码,得到用户名密码

3.按Fn+F12打开浏览器控制台

若不管用,则点击浏览器右上角三条线,找到“More tools”,进入后点击“Web Developer Tools”

 打开的控制台后, 点击Network。

4.输入用户名密码点击登录,success后,关注控制台左侧新跳出的表项,右侧窗口点击Headers,观察Respond部分的字段。

可以看到Cookie: Login = 0。但是并未看到flag。

经过一顿资料搜查、与同学交流、抱助教大腿后,得知要把HTTP请求头中的Cookie修改成1。

这让我想到了以前做过的实验——伪造ip,运用的插件名叫 simple-modify-headers

5.安装插件simple-modify-headers

(1)点击右上角“小拼图”图案,进入后左侧菜单栏选择Plugins

 (2)搜索框内打出:Modify Header并搜索,选择第一个点进去。

(3)点击Add 添加,后面还会跳出一个对话框,继续点击Add.

  (4) 完成后,点击浏览器右上角 圆圈M,点Configure

进入到以下界面:

 

6.伪造Cookie

在以上界面中按照上图填写。

Modify    Cookie       Login=1   Url空着

7.点击START开启插件,必须要看到浏览器右上角圆圈M一起变绿才可以!

 如果圆圈M没有变绿,则关掉浏览器所有Tab,重启浏览器,再点M-->Condifure--->START。

一次不行重启两次,直到点击START后,圆圈M跟着一起变绿。

8.回到Login界面,F12控制台-->Network继续开着。

9.再次输入用户名密码点击登录,sucess后点击新跳出的表项!我的在最下面。

10.右侧点击Headers,找到Response Headers,终于看见Flag了! 

 

写这篇文章太不容易了!步骤很繁杂。若遇到问题,请在评论区留言。

IT_GIRL_XAH
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SimpleModifyHeaders:Firefox和chrome扩展程序,用于修改标题
01-31
SimpleModifyHeaders V 1.6 Firefox和Chrome的扩展程序。 (扩展名可以通过安装Firefox和通过为Chrome) 该扩展基于规则表重写标头。 扩展名可以通过右上角的按钮启动和停止。 要保存并应用修改,您需要单击保存按钮。 有可能: 将配置导出到文件(json格式) 从文件导入配置。 它支持Modifyheaders插件的格式 规则表 规则表包含带有以下参数的行: 行动:添加,修改或删除标题字段 标头字段名称 标头字段值 评论:一条评论 适用于:如果修改适用于请求标头,则为“请求”;如果修改适用于响应标头,则为“响应” 状态:如果修改处于活动状态,则亮起;否则,灭 网址模式 我们可以通过修改URL模式来选择要应用修改的URL: URL模式必须遵循定义的语法 在字段上放置一个空字符串将选择所有URL 可以使用分号(;)分隔符选择多个URL模式 无法定义特定的端口号 参量 参数按钮允许: 激活调试模式:在浏览器的扩展调试控制台中显示详细的日志消息。 显示评论:在配置面板上显示评论字段 按规则过滤URL:激活在配置面板中为每个规则
simple-modify-headers-crx插件
03-09
简单的修改头 该扩展基于规则表重写标头。 可能:添加,修改或删除HTTP(S)请求或响应的标头字段以文件(json格式)导出配置从文件中导入配置选择要对其应用修改的url为了起作用,以下扩展名需要权限:存储:需要存储配置activeTab,选项卡:需要在浏览器选项卡中显示配置屏幕。 webRequest,webRequestBlocking, :需要修改标头有关更多信息,请访问https://github.com/didierfred/SimpleModifyHeaders该代码在Mozilla Public License 2.0下是开源的 支持语言:English (United States)
信息系统安全实验——Week 10
Coco_T的博客
05-07 2253
T1.伪造IP 题目描述 这道题目主要考查的是如何伪造HTTP请求头中的IP信息,这里我们推荐使用firefox自带的simple-modify-headers插件来伪造IP;当然你也可以选择使用其他工具来伪造HTTP请求头中的IP信息。 提示:先找到有效的登录信息,然后再伪造IP。如果你要使用simple-modify-headers插件,首先更新firefox浏览器,否则不能正确下载插件。 题目提供的辅助文档如下: 按照提示安装simple-modify-headers 登陆靶机网站,查看源代码
Windows操作系统安全实验
akyyz67的博客
11-20 833
在Windows XP操作系统中,相关安全设置会稍有不同,但大同小异,所有的设置均以管理员(Administrator)身份登录系统。 任务一:账户和口令的安全设置 任务二:用加密软件EPS加密硬盘数据 任务三:启用审核与日志查看 任务四:启用安全策略与安全模块
信息系统安全实验之Web服务器防SQL注入安全加固实验
7xun's space
04-18 512
(4)对于安全性要求比较高的信息系统,可以考虑用新兴的身份认证方式代替传统的口令登录方式,比如使用生物特征:指纹、人脸、虹膜等,这些生物特征是具有高度唯一性的,因而比一般的口令登录认证安全得多。(2)可以根据实际情况,将系统的登录口令以某种安全的加密算法保存在数据库中,比如MD5,SHA256,SM3等。可以知道,id后面跟的只能是数字,那么现在可以找到代码中关于 ry_id 可以获取变量的地方,发现对ry_id对类型限制被注释了,导致SQLMap可以借此漏洞进行注入。
网络安全】Windows系统安全实验
m0_53700832的博客
02-23 5862
单击“打开”按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。打开控制面板,选择“管理工具”,双击“本地安全策略”,依次打开“本地策略”—“安全选项”,在右侧找到“网络访问:可远程访问的注册表路径”和“网络访问:可远程访问的注册表路径和子路径”,双击打开,将路径删除。(2)单击工具栏上的“控制台”,在弹出的菜单中选择“添加/删除管理单元”,单击“添加”,在弹出的窗口中分别选择“安全模板”、“安全配置和分析”,单击“添加”按钮后,关闭窗口,并单击“确定”按钮。
火狐插件——伪造ip头
Hydra的博客
12-09 3065
Simple Modify Headers这个插件所示火狐里面比较好用的伪造请求信息的插件了,谷歌的另算。反正我的需求基本上都可以被它满足了。哈哈。 首先右击下拉菜单,找到附加组件 搜索headers,选择第二条 用法:这个插件不光能伪造ip,浏览器参数,cookie什么的都可以伪造。很方便 访问一下试试 哈哈,异常通知,伪造的很成功吗 ...
您的ip不在许可范围以内解决办法
热门推荐
高飞的博客
12-28 32万+
您的ip不在许可范围以内解决办法
Chrome浏览器添加插件Modify Headers for Google Chrome
hxltech的专栏
08-23 2万+
chrome浏览器添加Modify Headers for Google Chrome插件步骤: 点击chrome浏览器右上角设置按钮,选择更多工具->扩展程序->获取更多扩展程序,然后选择Modify Headers for...,找到Modify Headers for Google Chrome下载安装。
安全入门之工具篇1
SDM_JH的博客
07-13 499
安全入门之工具篇1一、浏览器插件1.Max HackBar插件2.FoxyProxy Standard3.Simple Modify headers4.Web Developer5.安装以上插件二、Burp Suite工具1.安装Burp Suite2.功能介绍3.抓包功能三、sqlmap1.安装sqlmap2.介绍3.基本语句4.拓展语句 一、浏览器插件 1.Max HackBar插件 一个firefox下的拓展插件,主要可以帮助我们测试sql注入、xss漏洞和网站的安全等,帮助我们做代码的安全审计。
modify_headers.zip
03-15
一款谷歌浏览器插件,辅助http头注入的检测,欢迎喜欢的朋友下载
HTTP Headers-crx插件
04-01
语言:English (United States) 查看浏览器中的所有HTTP / HTTPS流量。 从浏览器监控所有HTTP / HTTPS流量。 HTTP标头记录Google Chrome和Internet之间的所有HTTP流量。 从“设置”对话框中选择要捕获的资源类型。 此扩展向您展示了所有标题,因为它们被发送到服务器以及响应。 它还分解了请求参数并突出显示具有它们的URI。 希望您发现此扩展名有用。
正确处理浏览器的甜点——Cookie保证上网安全
03-03
Cookie是利用了网页代码中的HTTP头信息进行传递的,浏览器的每一次网页请求,都可以伴随Cookie传递。服务器将Cookie添加到网页的HTTP头信息中,伴随网页数据传回到你的浏览器,浏览器会根据你电脑中的Cookie设置选择...
11_JavaWeb——Cookie&Session案例资源
05-01
此资源是我的博客11_JavaWeb——Cookie&Session中的案例资源,关于比较难以编写的工具类我已在博客中给出,下载此资源后可直接运行,实现登录注册功能。其中登录功能能够记住用户使得下次登录不需要重复输入用户名和...
操作系统安全:删除Cookie文件和临时文件.pptx
06-02
删除Cookie文件和临时文件;删除Cookie文件和临时文件;Cookie文件一般可以直接用浏览器的internet设置中删除-设置-查看文件--直接按删除键删除;点击‘是‘后这样Cookie文件就被删除了;删除临时文件时同样的你要知道...
操作系统安全:syncookie配置.docx
06-01
syncookie配置 简介 SYN Flood SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多,SYN Cookie就是其中最著名的一种。 SYN Flood攻击是一种典型的拒绝服务(Denial of...
Cookie与Session的介绍即使用————Cookie
01-08
1.认识Cookie 1.简要介绍: 作用: Cookie是一种会话技术,用来将会话过程中的数据保存到用户的浏览器中,从而使浏览器和服务器更好的实现数据交互。 原理: 用户通过浏览器访问web服务器时,服务器会给客户端发一些...
信息安全原理与技术第一次实验系统安全实验
sjx3161的博客
05-29 2773
信息安全原理与技术第一次实验系统安全实验前言一、实验目的二、实验原理三、实验环境四、实验内容四、思考题 前言 为了帮助同学们完成痛苦的实验课程设计,本作者将其作出的实验结果及代码贴至CSDN中,供同学们学习参考。如有不足或描述不完善之处,敬请各位指出,欢迎各位的斧正! 该文图片非常多,字数约两万余字,请注意流量消耗! 一、实验目的 掌握Windows帐户与密码设置方法; 掌握文件系统的保护和加密方法; 掌握Windows操作系统安全策略与安全模板的使用、审核和日志的启用的方法; 掌握Windows操作系
系统cookie和用户cookie
最新发布
05-09
系统cookie和用户cookie都是网站上使用cookie,它们有以下区别: 1. 系统cookie是由网站服务器设置的,通常用于记录用户访问网站的一些信息,如用户的语言偏好、用户的登录状态等。这些cookie一般比较长久,保存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值