cookie仿冒漏洞

于 2022-01-04 14:09:48 发布
阅读量867 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzz710107110/article/details/122301803
版权

安全 web安全 服务器

简介: 服务器为鉴别客户端浏览器会话及身份信息,会将用户身份信息存储在 Cookie中,
并发送至客户端存储。攻击者通过尝试修改Cookie中的身份标识,从而达到仿冒其他用户
身份的目的,并拥有相关用户的所有权限

危害: 越权获取他人权限功能

漏洞挖掘: cookie中存在用户名的,替换为admin或其他存在账号(与越权类似)

修复建议: 建议对客户端标识的用户敏感信息数据,使用Session会话认证方式,避免被他人仿 冒身份
案例:
在这里插入图片描述
在这里插入图片描述

xiao__caicai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值