防止cookie 欺骗

最新推荐文章于 2024-05-16 09:24:58 发布
最新推荐文章于 2024-05-16 09:24:58 发布
阅读量311 收藏 1
点赞数
原文链接:http://www.cnblogs.com/haog/archive/2011/02/17/1956904.html
版权

按照浏览器的约定,只有来自同一域名的cookie才可以读写,而cookie只是浏览器的,对通讯协议无影响,所以要进行cookie欺骗可以有多种途径,最简单的方法自己建立一个网站,在C:\WINDOWS\system32\drivers\etc\hosts 中把这个自己建立的网站制定成想要欺骗的域名,cookie写入以后再把hosts的值改回来,这样这个本地的网站的cookie就可以抛到你想要入侵的域名下。

     这个漏洞可能大家都知道,关键是怎么预防,依照我个人的理解解决方法如下:

     请支持我的网站:http://www.haoy7.com 好游戏网

登陆代码:

      public void Logined(ModelUser model)
        {
            int outTime = GetLoginOutTime();
            HttpContext.Current.Response.Cookies["USERNAME"].Value=model.User_Name;
            HttpContext.Current.Response.Cookies["USERNAME_CHECK"].Value =DesSecurity.DesEncrypt(model.User_Name);
            HttpContext.Current.Response.Cookies["USERNAME"].Expires = DateTime.Now.AddMinutes(outTime);
            HttpContext.Current.Response.Cookies["USERNAME_CHECK"].Expires = DateTime.Now.AddMinutes(outTime);
            SetUserModel(model);
        }

可以看到保存了两个cookie值,都是用户名,一个是加密的一个是未加密的

验证是否登陆的代码如下:

        public bool IsLogin()
        {
            bool isLogin = false;
            if (HttpContext.Current.Request.Cookies["USERNAME"] != null)
            {
                if (HttpContext.Current.Request.Cookies["USERNAME_CHECK"] != null)
                {
                    string userName = HttpContext.Current.Request.Cookies["USERNAME"].Value;
                    string userNameCheck = HttpContext.Current.Request.Cookies["USERNAME_CHECK"].Value;
                    if (userName == DesSecurity.DesDecrypt(userNameCheck))
                        isLogin = true;
                }
            }
            return isLogin;
        }

OK了。

注意:代码是给需要的人看的,本人水平有限也不是作家请不要妄加评论,谢谢!

转载于:https://www.cnblogs.com/haog/archive/2011/02/17/1956904.html

weixin_30845171
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookie欺骗详解与防御技术
02-16
基于cookies的攻击与防御技术,讲述cookies攻击原理,攻击案例,以及防御技术
防止cookies欺骗--相关解决方案
sollion的专栏
09-12 8002
一、网络上提供的解决方案 1、 最简单的是给Cookies加个加密算法。 保险点的是给Cookies加个时间戳和IP戳,实际就是让Cookies在同个IP下多少时间内失效。 2、 实际上是这样的,不管cookies里保存了多少个字段,最后,还要增加一个验证字段,或者
Cookie有哪些安全隐患,如何防范
最新发布
长风破浪会有时的博客
05-16 359
首先,我们要明白Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名、喜欢的设置等。:在公共网络上,比如咖啡馆、图书馆的WiFi,我们的信息更容易被黑客窃取。:首先,我们要为我们的账户设置一个复杂且独特的密码,这样即使黑客偷走了我们的Cookie,他们也很难猜出我们的密码。:我们要确保我们使用的浏览器和访问的网站是安全的,它们会采取额外的措施来保护我们的Cookie和信息。:黑客可能会通过偷走我们的Cookie来假冒我们的身份,进入我们的账户,窃取我们的个人信息。
Cookie和Session的区别,怎么防止Cookie欺骗
庐州小白的博客
02-20 685
(1)Cookie只能保存ASCII码字符串,但是Session却可以保存各种类型的数据。 (2)Cookie存储在本地,对阅读器可见。因此涉及到敏感信息的数据需要加密,在服务器端再解密。Session保存在服务器端,对客户端透明,不存在敏感信息泄露风险。 (3)Cookie可以设置有效期,但是Session依赖名为SESSIONID的Cookie,过期时间默许为-1,只要关闭阅读器,该Sessi...
Cookies欺骗分析与防护
weixin_30556959的博客
03-25 140
今天来谈谈cookies欺骗是怎么回事以及如何避免。 用户在登录之后通常会保存用户信息,以便在其他需要权限的页面去验证用户信息是否具有访问权限。 有同学说我在登录的时候已经很注意SQL注入问题了,还有什么不安全的地方么? 当然有!这个要首先谈一个问题,那就是用户身份验证的流程 如下图: 因此我们可以看出,一个页面是否能够被访问,判断依据是通过存储信息区域中用户的信息来判断的 而...
老兵cookie欺骗.rar
06-14
同时,作为Web开发者,应当学习如何防止cookie欺骗,例如使用HTTPS、设置Secure和HttpOnly标志,定期更换会话ID,以及限制cookie有效期等。 通过实践DVWA中的cookie欺骗场景,你可以深入理解这种攻击方式,提高对...
桂林老兵cookie欺骗工具
10-11
5. **安全测试**:对于网络安全从业者来说,此工具可用于测试网站的安全性,检查其是否能有效防止Cookie欺骗。 6. **教育与研究**:除了实际的攻击,该工具也可以作为教学材料,帮助学习者理解Cookie欺骗的工作原理...
cookie 修改欺骗必备工具
12-29
在网络安全领域,Cookie修改欺骗是一种常见的技术,常用于测试网站的安全性、理解用户跟踪机制以及进行恶意攻击。...同时,对于网站开发者和管理员,加强安全防护,防止Cookie被篡改,是保护用户信息安全的关键。
桂林老兵cookie欺骗
07-02
3. **安全漏洞分析**:桂林老兵cookie欺骗工具可以检测网站是否对cookie进行了足够的安全防护,例如是否使用了HTTPS加密传输,是否设置了安全标志(Secure flag),是否使用了HttpOnly属性防止JavaScript访问等。...
cookie欺骗
07-06
**Cookie欺骗**是一种网络安全攻击手段,它涉及到攻击者利用受害者的Cookie来假冒受害者的身份,从而在Web应用程序中执行未经授权的操作。这种攻击方式通常发生在受害者访问了被篡改或不安全的网站,或者他们的...
cookie欺骗初探
王意林的专栏
04-25 5026
前一阵子在研究有关cookie欺骗的东西,今日得大神学长指点,找了一个练手的网站。 先普及一下基础知识 cookie欺骗      :就是利用cookie欺骗,攻击过程中对于cookie的利用在于,cookie注入和cookie欺骗。 其它方法          :其他比较常用的还有xss,sql注入,旁注,什么的,这些先不提,多说一下这个跨站攻击其实叫做css,cross-site啥的,
防止Cookie修改id欺骗登录
myyataoo的专栏
07-25 1406
笔者设计了自动重新申请session的机制(具体见前期文章),当session过期,可以创建新的session续航。在开发网站时,经常需要通过保存在Cookie中的id恢复Session登录。(3)需要通过cookie恢复网页时,将cookie中的验证串和通过用户表存储的check_key计算出来的验证串作比对,从而实现防欺骗。(2)将id和验证串check_code保存到cookie中,将check_key保存到用户表记录字段中。(6)Users类创建验证方法。...
cookie的安全隐患以及防篡改机制
浮生离梦的博客
05-28 6037
一、cookie的认识 cookie 1)cookie是指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密) cookie的登录 1)排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站 cookie的生命周期 1)创建cookie的时候,会给c...
cookie是什么?如何防范劫持?
摔不死的笨鸟的博客
08-17 2437
Cookie Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 We
cookie的作用和会遇到的危害以及防范
Slow_fever_youth的博客
08-22 2730
cookie的作用: cookie是一种在客户端保持HTTP状态信息的技术,它好比商场发的会员卡; cookie是在浏览器访问web服务器的某个资源时,由web服务器在在http响应头中附带传送给浏览器的一片数据; 一旦浏览器保存了某个cookie,那么它在以后每次访问该服务器时,都应该在http请求头中将这个cookie回传给服务器。 cookie的危害: 可能会遇到cookie欺骗,因为http报文是明文传输的,如果黑客截获了你访问服务器的数据报文,就可以窃取其中的cookie,从而用这个
解析Cookie欺骗实现过程及具体应变方法
weixin_34319374的博客
11-16 665
BLOG/YESKY 正如我们所知道的,在网络词汇中,cookie是一个特殊的信息,虽然只是服务器存于用户计算机上的一个文本文件,但由于其内容的不寻常性(与服务器有一定的 互交性,且常会存储用户名,甚至口令,或是其它一些敏感信息,例如在江湖或是一些社区中,常会用cookie来保存用户集分,等级等等)。因而成为一些高手关注的对像,借此...
什么是cookie欺骗
05-20
Cookie欺骗是一种网络攻击,攻击者通过伪造或篡改网站的Cookie欺骗用户和服务器,从而获取...为了防止Cookie欺骗,网站可以采用HTTPS协议加密传输Cookie,或者使用一些防范欺骗的技术,例如Token验证、双因素认证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值