Cookie和Session的区别,以及常见web安全攻击手段的理解

最新推荐文章于 2023-03-05 15:45:01 发布
最新推荐文章于 2023-03-05 15:45:01 发布
阅读量2.7k 收藏 1
点赞数 1
分类专栏: Cookie、Session、网络安全 文章标签: cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012309392/article/details/88824783
版权

不举长篇大论

1.cookie 本质上是存储在客户端本地硬盘的信息,有持久性和临时性两种,浏览器会根据domain【域名】来向服务器发送对应的cookie

2.session 本质上是一个临时cookie,保存的信息是sessionId服务器内存会保存有该ID记录的session对象信息

 

常见Web安全攻击手段

一. Cookie欺骗


1.利用抓包截获 cookie信息
2.利用 Cookies插件 , 人为在domain下面添加cookie信息
3.达到信息认证的效果

二. XSS跨站脚本攻击


核心方式:HTML注入


场景: 比如应用程序做了一个留言板 , 要展示用户的留言 
此时恶意用户在留言板提交 <script>alert(document.cookie)</script>
该代码被提交到数据库 , 加载留言板时改代码会做为  HTML被注入到页面  
此时所有用户的cookie信息都会在Javascrip脚本语言中被盗取

修复方式:不相信用户提交的数据
过滤掉  <  改为&lt   > 改为&gt javascript  script等
服务器这边  重要的cookie设置为 httpOnly


三. CSRF 跨站点请求伪造


核心方式 : 让用户点击进入攻击者制造的第三方页面请求正规站点的接口

修复方式 :很简单  , 攻击者并没有窃取用户的信息 , 而是在用户不知情的情况下, 使用用户的权限访问正规站点
同源策略  :  浏览器不允许跨站发送权限信息cookie)即可 , 这样在第三方站点访问正规站点不会发送cookie , 就不会通过正规网站的权限认证
 

 

一位凡人
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同浏览器不同窗口不同用户Session问题
04-10
正对java Web项目,同浏览器同时打开两个登录窗口(不同Tag),用不同用户登录,为避免使用同一个Session,需要使用这段代码。否则先登录的用户的Session会变成后登录用户的Session.相关系统使用权限也会变。
安全测试学习笔记一(Cookie&Session)
08-02 1015
一,Session:含义:有始有终的一系列动作/消息1,  隐含了“面向连接” 和“保持状态”两种含义2,  一种用来在客户端与服务器之间保持状态的解决方案3,  也指这种解决方案的存储结构“把××保存在session里”二, http 协议本来是无状态的,所以引进了cookiesession机制来保持连接状态cookiesession 机制之间的区别与联系:   
sessioncookie区别, 他们都是什么?
yx_ming的博客
08-13 6134
什么是Session? 1.由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session. 2.Session用于标识这个用户,并且跟踪用户,Session是保存在服务端的,有一个唯一标识。在服务端保存Session的方法很多,内存、数据库、文件都有。 3.大型的网站,一般会有专门的Session服务器集群,用来保存用户会话,这个...
Cookie会话状态的工作原理及Cookie欺骗
风向南吹
09-08 1904
解读sessionsession是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端,通过SessionID来区分不同的客户,session是以Cookie或URL重写为基础。默认使用Cookie来实现,系统会创造一个名为JSESSIONID的输出Cookie,或称为"Session Cookie",以区别Persistent Cookies(通常所说的Cookie).
简述一下CookieSession区别
Senbonzakura_py的博客
03-05 181
(服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁,这种用户信息存储方式相对cookie来说更安全)结论:将登录信息等重要信息存放为session(考虑到session机制更加安全);其他信息如果需要保留,可以放在cookie中。session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能。session机制更安全,因为cookie存放在客户端,容易被窃取。cookie存储在客户端,session存储在服务器。
新手菜鸟必读:sessioncookie区别
10-26
- **session**:数据在服务器端,用户无法直接查看,但攻击者可能通过会话劫持等手段获取session数据,因此需要确保服务器端的安全措施。 - **cookie**:由于数据在客户端,用户可以查看,且容易受到中间人攻击、...
Web应用安全:CSRF安全隐患产生原因.pptx
06-18
**Web应用安全理解CSRF安全隐患的产生原因** CSRF(Cross-Site Request Forgery,跨...对于Web开发者而言,构建安全Web应用不仅需要遵循最佳实践,还需要时刻关注最新的安全威胁动态,以抵御不断演变的攻击手段
创建带时间戳的session值,以及设置token
02-20
添加时间戳到Session值中,可以确保Session的有效性和安全性,防止Session劫持或重放攻击。 **二、Token** Token通常用于无状态的API交互,它是一个由服务器生成的唯一字符串,包含用户的身份信息和过期时间等。与...
浏览器魔术 html5安全研究 html欺骗
最新发布
04-20
4. **Web Storage**:Local Storage和Session Storage提供了比Cookie更强大的数据存储能力,但也可能导致敏感信息暴露,需要合理的数据加密和访问控制。 5. **Web Cryptography API**:提供了一种在浏览器端进行...
apartment--php.rar_WEB开发_PHP_
08-11
2. **MVC(Model-View-Controller)模式**:这是一种常见Web应用架构模式,将业务逻辑(Model)、用户界面(View)和数据控制(Controller)分离开来,使代码更易维护和扩展。 3. **数据库连接与操作**:PHP可以...
利用Cookie攻击
12-03
cookie欺骗cookie注入 Cookie文件名称格式 设置cookie脚本
c语言典型回调函数写法
06-06
用c语言写的一个典型的回调函数,适合c和c++语言初学者进阶。
Cookie机制和Session机制
09-08
详细的介绍了cookiesession区别
C语言的回调函数与注册
qq_51982566的博客
01-04 3758
回调函数就是一个通过函数指针调用的函数。如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用来调用其所指向的函数时,我们就说这是回调函数。回调函数不是直接调用该函数,而是在特定的事件或条件发生时由另外的一方调用的,用于对该事件或条件进行响应。
Cookie篡改攻击
qfzhaohan的博客
12-09 5436
什么是cookie篡改? 在我们深入探讨前,我们先快速地理清一下术语。狭义上,cookie篡改攻击指直接修改已存在的cookie值。cookies只是存储在用户浏览器的文本值,因此,如果没有额外的防护措施,你可轻松地通过手动或者Javascript的document.cookie属性修改它们。幸运的是这样基础的攻击很少可能出现在现代web开发中,因为现代web开发中会话管理和其它涉及cookie操作的通常框架层面完成。 更广泛地说,“cookie篡改”这术语通常指所有的cookie相关的攻击,即使不涉及
C语言注册回调函数例子
学习笔记
08-27 9546
#include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; int add(int a, int b) { return a + b; } int sub(int a, int b) { return a - b; } /...
C语言 — 函数的注册和回调
热门推荐
wusu的博客
09-04 2万+
函数注册和回调函数 1、什么是函数注册和回调 回调函数无非是对函数指针的应用,说白了就是通过使用函数指针来调用一个函数,而函数注册就是把函数指针作为参数传递出去便于别的模块使用的过程。所以函数注册就是为了回调,先注册再回调。 2、为什么要使用回调函数 回调函数可以把调用者与被调用者分开,所以调用者不关心谁是被调用者以及被调用者如何实现。它只需知道存在一个具有特定原型和限制条件的被调用函数。简而言之...
了解cookie以及cookie跨站点伪造攻击(CSRF)
我的专栏
05-15 2667
背景知识: 很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要纪录谁在某一段时间里浏览了什么 文档,每次请求都是一个新的Http协议,就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我 来说是全新的,这段时间很嗨皮。 但是,随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理回话, 必须记住那些人登录系统,那些人往自己的购物车中放商品,也就是说我必须把每个人区分开,这就是一个不小的挑战, 因为HTTP请求是无状态.
CookieSession机制.doc
08-26
理解CookieSession的原理和使用方法,选择合适的技术,并在实际项目中进行实践,对于提高Web应用程序的安全性和用户体验具有重要意义。希望本文能够帮助读者更好地理解和应用CookieSession技术,为Web开发工作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值