不安全的Cookie

最新推荐文章于 2022-05-29 18:50:06 发布
最新推荐文章于 2022-05-29 18:50:06 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: Others

浏览器 cookie 一直用于保存网站用户的  一些不敏感信息 如  访问网站的主题风格  用户别名   而用户登录一般都使用的是session  但是 当用户量达到一定的规模时  使用session 就会给服务器增加很多负担  所以大型的网站都会使用 cookie 来保存用户登录信息  一些开源的 cms  论坛程序 也是如此
几乎每本网页编程的书都会说 cookie 不安全  但都没有细讲其原因   最近在做一个程序时 想到这个问题   就打算来分析一下
基于 cookie  机制  的访问流程

用户首次登陆后生成 用户cookies 设定有效期

用户再次访问判断是否存在cookie

再根据cookie  的用户信息进行判断  与数据库比对 是否合法   有的程序可能不会再次验证
存在cookies  就可以访问

登录成功

其中的问题在于 这个cookie 不是唯一的   没法限定只能在一台电脑使用

如果把登录后的cookie内容 全部复制到另一台电脑的浏览器   再访问该网站 就可能视为已登录了
我在人人网 做了下尝试
用 chrome 下 登录了 renren.com   在用chrome 插件 Edit This Cookie 查看到了所有的cookies

cookies1.png

在另一台电脑上 用firefox   访问renren.com  用FF 插件 firebug + firecookie  新建所有cookie

QQ截图20111112130153.png

登录成功   ...

silkcity
关注
专栏目录
安全漏洞: 不安全cookie传输
阿强的博客
04-26 2380
漏洞危害: 1、用户名和密码保存在cookie中,易被窃取,且密码可被还原成明文信息; 2、会话cookie不包含secure属性,因此注入站点的恶意脚本可能访问此cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在后续攻击中用于身份盗窃或用户伪装。 防护建议: 1、敏感数据如非必要,不要利用cookie传递交换。 2、密码等敏感数据传输时应加密处理。 3、设置cooki...
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
黑客能利用不安全cookies劫持你的WordPress博客
luyong3435的专栏
05-28 943
Everywhere 和 Privacy Badger Firefox 维护者 Yan Zhu 发现了 WordPress 的一个安全漏洞,该漏洞将允许黑客劫持你的 WordPress 博客。她发现一个重要的 cookies“wordpress_logged_in”在输入有效的用户名和密码后通过 HTTP 明文发送到 WordPress 的一个认证端点。 也就是说,你可以拷贝这个 cooki
Cookies 欺骗权限
FeiJiXiong的专栏
09-27 776
一、攻击原理 Cookies 欺骗主要利用当前网络上一些用户管理系统将用户登录信息储存在 Cookies 中这一不安全的做法进行攻击,其攻击方法相对于 SQL 注入漏洞等漏洞来说相对要“困难”一些,但还是很“傻瓜”。 我们知道,一般的基于 Cookies 的用户系统至少会在 Cookies 中储存两个变量:username 和 userlevel,其中 username 为用户名,而 user
Cookie在网站登录所带来的安全隐患及解决办法
Echo_Ana的博客
09-22 8500
最近几天屡次出现登录CSDN账户登陆问题,具体的问题是:在以往保留的正确的账号和密码的界面上自动登录,登录到了一个不知名的账号上。 于是我便开始寻找正确的解决方案之路: 1. 在账号输入界面重新输入自己的账号和密码,但是都会出现相同的问题。 2. 将浏览器的历史记录给清除掉,也依旧不能解决问题 3. 最后我将浏览器里的上网痕迹给设置清理了一下,添加了清理Cookies这一项,结果再进入登录
php用户登录之cookie信息安全分析
10-22
本文将深入探讨如何确保Cookie中的信息安全,主要关注加密和令牌保护两种策略。 首先,Cookie信息加密是一种基本的安全措施,目的是防止未经授权的用户获取和篡改Cookie内容。文章中提到的加密函数`authcode`是一个...
深入分析Cookie安全性问题
01-19
Cookie文件不能作为代码执行,也不会传送病毒,它为用户所专有并只能由创建它的服务器来读取。另外,浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB,因此,Cookie不会...
cookie-twist:Java安全cookie,带有签名的转折
05-16
您是否听说过Tornado Web框架中的安全cookie处理? 最后有个转折! >▽ 甚至从早期发行版开始,就不仅仅通过对Cookie的值进行设置cookie的,以防止伪造。 cookie-twist库旨在通过构成一个普通的旧对象在Java中...
解决java后台登录前后cookie不一致问题
08-31
然而,有时会出现“登录前后Cookie不一致”的问题,这可能会影响用户体验或引发安全性问题。本文将探讨这个问题的原因以及两种可能的解决方案。 **问题分析** 登录前后Cookie不一致的问题可能由以下几个原因引起:...
Cookie,Session,Token的鉴权方式
qq_55817438的博客
05-29 686
简述Cookie,Session,Token的鉴权方式
Cookie安全性问题
01-19 526
Cookie的目的是为用户带来方便,为网站带来增值,一般情况下不会造成严重的安全威胁。Cookie文件不能作为代码执行,也不会传送病毒,它为用户所专有并只能由创建它的服务器来读取。另外,浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4...
前后端常见的几种鉴权方式
热门推荐
wang839305939的博客
01-03 11万+
常见的授权四种授权方式HTTP Basic Authentication,session-cookie,token(jwt),OAuth(开放授权)
cookie安全性问题
resilient的博客
12-25 1万+
什么是cookie 指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密)。(注:此定义来自百度百科) cookie对于登录的效果 排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站。 cookie的生命周期 创建cookie的时候,会给cooki...
安全科普:使用Cookie会导致哪些安全问题?
chiansec_的博客
01-12 9966
0x01 Cookie的前世今身 Cookie指某些网站为了辨别用户身份而储存在用户本地客户端上的数据。 因为HTTP协议是不保存用户状态的,这使得用户在交互式的web应用中体验非常差。 在一个网上购物的场景中,用户向购物车添加了一些商品,最后结账时,由于HTTP的无状态性,不通过额外参数,服务器并不知道哪位用户购买了哪些商品。在这种场景下,服务端可通过设置或读取Cookie中包含的信息,维护用户的会话状态。 0x02 由Cookie延伸出的漏洞 在这篇文章中,我们将列出各种攻击.
COOKIE安全与防护
cheeseandcake的博客
05-28 1万+
目     录   摘要 关键词 一、 引言  二、 COOKIE概述  三、 COOKIE安全分析  四、 COOKIE惯性思维  五、 COOKIE防护  六、 总结  七、 参考文献: 15 摘要:Cookie是一小段文本信息,只能保存字符串,伴随着用户请求和页面在Web服务器和浏览器间传递,用来保持Web中的回话状态和缓存信息,记录用户的状态。Cooki
全面了解 Cookie的传递流程、编程实现及安全问题
肄若芸(yiruoyun)的专栏
11-23 2222
全面了解 Cookie的传递流程、编程实现及安全问题     Cookie在英文中是小甜品的意思,而这个词我们总能在浏览器中看到,食品怎么会跟浏览器扯上关系呢?在你浏览以前登陆过的网站时可能会在网页中出现:你好XX,感觉很亲切,就好像是吃了一个小甜品一样。这其实是通过访问你主机里边的
如何保证cookie安全
初漾的博客
10-03 6849
1.Cookie 依然遵循“同源策略”,只有用目标服务器域名设置的 Cookie 才会上传,而且使用 document.cookie 也无法读取目标服务器域名下的 Cookie。所以不能跨域获取cookie数据 2.cookie存储在客户端,session存储在服务器端,服务器端有个明细列表,将cookie数据与列表一一对应。
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
cookie为什么不安全
最新发布
05-26
Cookie本身并不是不安全的,但是它们可以被滥用或攻击者利用。以下是一些Cookie可能存在的安全问题: 1. CSRF攻击:攻击者可以使用在受害者浏览器中存储的Cookie来模拟用户行为,例如发表评论、转账等。 2. XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值