简介: 服务器为鉴别客户端浏览器会话及身份信息,会将用户身份信息存储在 Cookie中,
并发送至客户端存储。攻击者通过尝试修改Cookie中的身份标识,从而达到仿冒其他用户
身份的目的,并拥有相关用户的所有权限
危害: 越权获取他人权限功能
漏洞挖掘: cookie中存在用户名的,替换为admin或其他存在账号(与越权类似)
修复建议: 建议对客户端标识的用户敏感信息数据,使用Session会话认证方式,避免被他人仿 冒身份
案例:
简介: 服务器为鉴别客户端浏览器会话及身份信息,会将用户身份信息存储在 Cookie中,
并发送至客户端存储。攻击者通过尝试修改Cookie中的身份标识,从而达到仿冒其他用户
身份的目的,并拥有相关用户的所有权限
危害: 越权获取他人权限功能
漏洞挖掘: cookie中存在用户名的,替换为admin或其他存在账号(与越权类似)
修复建议: 建议对客户端标识的用户敏感信息数据,使用Session会话认证方式,避免被他人仿 冒身份
案例: