防止cookies欺骗--相关解决方案

最新推荐文章于 2024-04-21 14:09:21 发布
最新推荐文章于 2024-04-21 14:09:21 发布
阅读量7.9k 收藏 3
点赞数
分类专栏: 编程相关 文章标签: cookies 数据库 session 服务器 加密 login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sollion/article/details/6769798
版权
一、网络上提供的解决方案
1、
最简单的是给Cookies加个加密算法。
保险点的是给Cookies加个时间戳和IP戳,实际就是让Cookies在同个IP下多少时间内失效。

2、
实际上是这样的,不管cookies里保存了多少个字段,最后,还要增加一个验证字段,或者称为MAC码。这个码是使用上面所有字段的内容合算出来的摘要再用一种加密算法,如3DES等使用服务器的主密钥进行加密。 这样,在从cookies得到数据后,再判断一下这个MAC码就可以知道整个cookies字段是否被篡改过。

3、
我的个人意见:(想过,正准备用上)
response.COOKIES("LOGIN")("MD5COOKIES")=MD5(服务器IP&客户IP&客户ID) ///等等,看着办吧。
然后 if MD5(服务器IP&客户IP&客户ID)<>request.COOKIES("LOGIN")("MD5COOKIES") then 立即清除全部COOKIES end if
补充:上面我写的那个,客户IP不能带上。我想可以改用网卡的MAC或硬盘的SN码。

4、
做项目的时候研究了一下,理论上应该是杜绝了cookies欺骗,我的做法如下: 
自己做session,不用服务器的session功能,大网站都是这样做的,还可以做到session 
跨站。 
用户第一次访问站点的时候,程序产生一个随机sessionID,然后以cookies的方式发给客户端, 
然后将该md5(sessionID+加上该客户断信息(如IP,端口等))和状态信息一起存入数据库, 
这样就算cookies被盗,也有99%的把握不被欺骗。

5、
要防止这个,在写网页的时候就不要相信cookies,例如用户登陆时,记录用户的账号和密码到cookies里,其他叶面就不能直接使用这个cookies,特别是数据库操作,每个叶面都要把cookies与数据库中的用户名和账号对照,如果不吻合,就清空cookies,按非会员操作,即使吻合,进行数据库操作时也要检查字段,阻断注入。

6、
参考动网防Cookies欺骗,利用动态密码与Session+Cookies双重验证


二、自己最终解决方案
username ip rndcode,分别为用户名、ip、随机码,数据库中多添加两个字段,分别为当前登录ip、随机码
实现原理:
(1)、加密不可逆,cookies被获取后不起作用,其中ip在起着重大作用
(2)、暴力破解成功,ip换成自己机器的,可正常访问,但前提是此用户一直未登录过,否则数据库中随机码大显身手
sollion
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【CTF bugku cookies】关于cookie篡改、PHP代码审计
zw05011的博客
01-14 870
知识点 cookie cookie 常用于识别用户。cookie 是一种服务器留在用户计算机上的小文件。每当同一台计算机通过浏览器请求页面时,这台计算机将会发送 cookie。通过 PHP,您能够创建并取回 cookie 的值。 在PHP中,利用setcookie()函数可以创建和修改Cookie,以及设置Cookie的有效期;而使用$_COOKIE[]数组可以读取Cookie变量的值。 setcookie(name,value[,exprie,path,domain,secure]);//创建Co
小程序如何支持cookies---解决方法篇(nodejs)
03-29
我用的后台是nodejs + passport + mongodb   第一步 wx.request 将login 的数据传输到后台 code,iv,encryptedData, ... 正常系统回往http 加一个 返回头 set-cookies 但是小程序 不处理 这个头,因此我们
提高COOKIE的安全性--相关解决方案
热门推荐
attilax的专栏
06-05 1万+
提高COOKIE的安全性--相关解决方案   网络上常见方案是:   给Cookies加个加密算法。 给Cookies加个时间戳和IP戳,实际就是让Cookies在同个IP下多少时间内失效。 最终使用MD5来MAC签名防止篡改……但这样仍然可以看到明文信息,有一定不安全之处。 我的方案是 cookie==3des(“值,时间,IP戳”);   最终得到的COOKIE是这样的:3
【爱思考】CISP考试试题介绍(其中一部分)
powertime_cn的博客
07-20 3286
人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于: A.为了更好地完成组织机构的使命 B.针对信息系统的攻击方式发生重大变化 C.风险控制技术得到革命性的发展 D.除了保密性,信息的完整性和可用性也引起人们的关注 2. 信息安全保障的最终目标是: A.掌握系统的风险,制定正确的策略 B.确保系统的保密性、完整性和可用性 C.使系统的技术、管理、工程过程和人员等安全保障要素达到要求 D.保障信息系统实现组织机构的使命 关于信息保障技术框架(IATF),下列哪种说法是错误的? A.IATF.
cookie的安全隐患以及防篡改机制
浮生离梦的博客
05-28 5819
一、cookie的认识 cookie 1)cookie是指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密) cookie的登录 1)排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站 cookie的生命周期 1)创建cookie的时候,会给c...
cookie加密解密和保证数据完整性(不被篡改
张无忌
12-05 1774
AES-128-CBC是一种分组对称加密算法,即用同一组key进行明文和密文的转换,以128bit为一组,128bit==16Byte,意思就是明文的16字节为一组对应加密后的16字节的密文。 若最后剩余的明文不够16字节,需要进行填充,通常采用PKCS7进行填充。比如最后缺3个字节,则填充3个字节的0x03;若最后缺10个字节,则填充10个字节的0x0a; 若明文正好是16个字节的整数倍,最后要再加入一个16字节0x10的组再进行加密CBC加密原理: 明文跟向量异或,再用KEY进行加密,结果作为下个BLO
防止Cookie修改id欺骗登录
myyataoo的专栏
07-25 1335
笔者设计了自动重新申请session的机制(具体见前期文章),当session过期,可以创建新的session续航。在开发网站时,经常需要通过保存在Cookie中的id恢复Session登录。(3)需要通过cookie恢复网页时,将cookie中的验证串和通过用户表存储的check_key计算出来的验证串作比对,从而实现防欺骗。(2)将id和验证串check_code保存到cookie中,将check_key保存到用户表记录字段中。(6)Users类创建验证方法。...
Java伪造cookie登录_Cookie防伪造防修改
weixin_30423065的博客
02-25 715
主要防止非法用户修改cookie信息,以及cookie的超时时间传统cookie存储,Cookie(name, value),value很容易就被篡改。防修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime)signToken :签名密钥 由md5(value...
【登陆相关】小程序如何支持cookies---解决方法篇(nodejs)
03-29
我用的后台是nodejs + passport + mongodb 第一步 wx.request 将login 的数据传输到后台 code,iv,encryptedData, ... 正常系统回往http 加一个 返回头 set-cookies 但是小程序 不处理 这个头,因此我们获取
javascript asp教程第九课--cookies
10-31
javascript asp教程第九课--cookies
cookie欺骗详解与防御技术
02-16
基于cookies的攻击与防御技术,讲述cookies攻击原理,攻击案例,以及防御技术
react-cookies:使用React加载和保存Cookie
05-02
React饼干使用React加载和保存Cookie安装$ yarn add react-cookies原料药.setCookie(名称,值,[选项]) 设置一个cookie。名称Cookie名称类型: string 必需的价值Cookie值类型: any 必需的选项支持所有cookie选项...
vue-cookies:一个简单的Vue.js插件,用于处理浏览器Cookie
04-29
npm install vue-cookies --save // require var Vue = require('vue') Vue.use(require('vue-cookies')) // es2015 module import Vue from 'vue' import VueCookies from 'vue-cookies' Vue.use(VueCookies) // ...
解析Cookie欺骗实现过程及具体应变方法
weixin_34319374的博客
11-16 664
BLOG/YESKY 正如我们所知道的,在网络词汇中,cookie是一个特殊的信息,虽然只是服务器存于用户计算机上的一个文本文件,但由于其内容的不寻常性(与服务器有一定的 互交性,且常会存储用户名,甚至口令,或是其它一些敏感信息,例如在江湖或是一些社区中,常会用cookie来保存用户集分,等级等等)。因而成为一些高手关注的对像,借此...
防止cookie 欺骗
weixin_30845171的博客
02-17 301
按照浏览器的约定,只有来自同一域名的cookie才可以读写,而cookie只是浏览器的,对通讯协议无影响,所以要进行cookie欺骗可以有多种途径,最简单的方法自己建立一个网站,在C:\WINDOWS\system32\drivers\etc\hosts 中把这个自己建立的网站制定成想要欺骗的域名,cookie写入以后再把hosts的值改回来,这样这个本地的网站的cookie就可以抛到你...
Cookies欺骗分析与防护
weixin_30556959的博客
03-25 132
今天来谈谈cookies欺骗是怎么回事以及如何避免。 用户在登录之后通常会保存用户信息,以便在其他需要权限的页面去验证用户信息是否具有访问权限。 有同学说我在登录的时候已经很注意SQL注入问题了,还有什么不安全的地方么? 当然有!这个要首先谈一个问题,那就是用户身份验证的流程 如下图: 因此我们可以看出,一个页面是否能够被访问,判断依据是通过存储信息区域中用户的信息来判断的 而...
浙江省三级网络与网络安全练习题(1)
yuwoxinanA3的博客
04-10 7272
目录 判断题: 判断题答案: 选择题 选择题答案: 真题,真的拿不到,这里是根据考纲找的一些练习题(也有我自己出的)。 判断题: (1)计算机网络第二个阶段,没有主从关系,以资源共享为主。( ) (2)计算机网络数据传输速率的单位是帧/秒。 ( ) (3)在惯用传播介质中,光纤宽带最宽、信号传播衰减小、抗干扰能力强。( ) (4)惯用数据互换技术是电路交换和报文互换。 (......
【2018国赛线上初赛】知识问答题真题演练第三波
weixin_42146366的博客
04-19 4042
71、IPsec ESP提供的功能包括: 【多选题】( BD ) A、访问控制; B、数据源认证; C、防DOS攻击 D、防重放攻击; 72、在PKI系统中,以下说法正确的是: 【多选题】( ABC ) A、利用LDAP协议的目录服务可以很好地构造证书库; B、证书撤消列表中包含了仍在有效期内但已不可使用的公钥证书; C、密钥备份与恢复只能针对脱密密钥,签名私钥不能够作备份; D、一个证书中,最重...
MySQL如何避免全表扫描?
最新发布
常备不懈
04-21 1062
全表扫描通常在查询数据库时消耗大量资源,尤其是当表中的数据行数非常多时。避免全表扫描可以显著提高数据库查询的性能和效率。以下是一些有效的策略来避免全表扫描:
vue-cookies
08-08
Vue-cookies一个用于在Vue.js应用程序中管理浏览器cookies的插件。它提供了一些方便的方法来读取、写入和删除cookies。您可以使用Vue-cookies来存储用户的身份验证令牌、用户首选项或其他需要在浏览器中进行持久化的数据。 要使用Vue-cookies,您首先需要安装它。您可以通过在命令行中运行以下命令来安装它: ``` npm install vue-cookies ``` 安装完成后,您可以在Vue应用程序中导入和使用Vue-cookies。例如,您可以在Vue组件中使用以下代码来设置一个cookie: ```javascript import VueCookies from 'vue-cookies' // 设置一个名为token的cookie,值为abc123,并设置过期时间为1天 VueCookies.set('token', 'abc123', '1d') ``` 您还可以使用`get`方法来获取一个cookie的值,使用`remove`方法来删除一个cookie。更多关于Vue-cookies的使用方法和选项,请参考官方文档。 值得注意的是,Vue-cookies只是一个插件,它并不是Vue.js的官方插件。但它提供了方便的方法来处理cookies,使得在Vue.js应用程序中管理cookies变得更加容易。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值