php劫持cookie,php 处理cookie的类功能实例

最新推荐文章于 2023-07-24 20:50:04 发布
最新推荐文章于 2023-07-24 20:50:04 发布
阅读量106 收藏
点赞数
文章标签: php劫持cookie

/**

* 一个用于处理cookie的PHP类

*

* @param

* @arrange 网: 512Pic.com

**/

class cookieClass{

var $cName = '';

var $cTime = '';

var $cSerialize = false;

var $cPath = '';

function cookieClass($cookieName,$cookieTimeout,$cookieSerialize = false,$cookiePath = "/"){

$this->cName = $cookieName;

$this->cTime = $cookieTimeout;

$this->cSerialize = $cookieSerialize;

$this->cPath = $cookiePath;

// This should fix the issue if you have cookies set and THEN turn on the serialization.

$iname = $this->cName . "_S";

if($this->cSerialize && !isset($_COOKIE[$iname])){

$cookArr = array();

foreach($_COOKIE as $name=>$val){

if(strpos($name,$this->cName) !== false ){ // make sure it is a cookie set by this application

$subname = substr($name,strlen($this->cName) + 1);

$cookArr[$subname] = $val;

$this->KillCookie($name);

}

}

$this->WriteCookie($cookArr);

}

// This is the opposite from above. changes a serialized cookie to multiple cookies without loss of data

if(!$this->cSerialize && isset($_COOKIE[$iname])){

$cookArr = unserialize($_COOKIE[$iname]);

$this->KillCookie($iname);

$this->WriteCookie($cookArr);

}

}

function DestroyAllCookies(){

foreach($_COOKIE as $name=>$val){

if(strpos($name,$this->cName) !== false){

$_COOKIE[$name] = NULL;

$this->KillCookie($name);

}

}

}

function ReadCookie($item){

if($this->cSerialize){

$name = $this->cName . "_S";

if(isset($_COOKIE[$name])){

// handle the cookie as a serialzied variable

$sCookie = unserialize($_COOKIE[$name]);

if(isset($sCookie[$item])){

return $sCookie[$item];

}else{

return NULL;

}

}else{

return NULL;

}

}else{

$name = $this->cName . "_" . $item;

if(isset($_COOKIE[$name])){

// handle the item as separate cookies

return $_COOKIE[$name];

}else{

return NULL;

}

}

}

function KillCookie($cName){

$tStamp = time() - 432000;

setcookie($cName,"",$tStamp,$this->cPath);

}

function WriteCookie($itemArr){

if($this->cSerialize){

$sItems = serialize($itemArr);

$name = $this->cName . "_S";

$_COOKIE[$name] = $sItems;

$tStamp = time() + $this->cTime;

setcookie($name,$sItems,$this->cPath);

}else{

$tStamp = time() + $this->cTime;

foreach($itemArr as $nam=>$val){

$name = $this->cName . "_" . $nam;

$_COOKIE[$name] = $val;

setcookie($name,$val,$this->cPath);

}e

}

}

}

/*** 来自编程之家 jb51.cc(jb51.cc) ***/

weixin_39601641
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何保护你的账户和财产不被Cookie劫持和HTML注入攻击?
陈书予
03-08 1万+
随着互联网的普及,网络攻击也愈发猖獗,其中钓鱼攻击成为网络攻击的一大别。钓鱼攻击指的是通过欺骗手段获取用户的敏感信息或者财产的行为。其中,利用Cookie劫持+HTML注入进行钓鱼攻击成为了攻击者非常常用的一种手段。本篇博客将详细讲解这种攻击方式的实现原理,以及如何从技术层面上进行防范。
请解释一下Cookie劫持是什么,以及如何防止?
最新发布
长风破浪会有时的博客
04-01 633
Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名或者我们喜欢的东西。这样,当我们下次再去那个网站的时候,网站就可以通过这个小标记来认出我们,并为我们提供更好的服务。但是,有时候坏人会想办法偷走我们的这个小标记,也就是Cookie,然后利用它来假冒我们的身份去做一些不好的事情,比如进入我们的账户或者窃取我们的信息。:当我们在使用网络的时候,要尽量使用安全的网络连接,比如家里的WiFi或者学校的网络。:首先,我们要确保我们的电脑和手机是安全的,不被坏人控制。
什么是会话劫持及其工作原理?
lavin1614
01-06 1334
每次用户通过 HTTP 连接访问网站或应用程序时,该服务都会在打开通信线路并提供访问权限之前对用户进行身份验证(例如,通过用户名和密码)。但是,HTTP 连接本身是“无状态的”,这意味着用户执行的每个操作都是独立查看的。因此,如果我们仅依赖 HTTP,用户将不得不为他们执行的每个操作或查看的页面重新验证自己。会议解决了这一挑战。一旦用户登录,就会在托管网站或应用程序的服务器上创建一个会话,然后作为初始身份验证的参考。本质上,只要会话在服务器上保持打开状态,用户就可以保持身份验证。
【愚公系列】2023年06月 攻防世界-Web(wtf.sh-150)
时光隧道
06-19 3973
目录穿透漏洞是一种安全漏洞,允许攻击者通过在URL中操纵目录路径,访问到应用程序中不应该被公开访问的文件或目录。攻击者通常利用此漏洞来盗取敏感信息,如数据库凭证、用户密码等。例如,一个应用程序可能包含以下URL:http://example.com/public/files/file.txt。如果攻击者能够通过操纵URL,使其变成http://example.com/public/…/private/files/database.txt,那么攻击者将能够访问应用程序中私有文件夹中的敏感文件。
cookie劫持与明文密码发送
weixin_43225966的博客
04-21 640
代码分析,当用户访问登录页面时,会请求 http://localhost/metinfo/admin/?翻到 ./app/system/我们可以看到很多模块的文件夹,2.思路1: 准备一个xss平台,把script脚本放在admin登录后可以看的资源文件里,把cookie发送到平台,输入http://localhost/metinfo/admin/index.php 进入 admin 后台登录页面。3.思路2:修改代码,在用户登录成功时的那段代码里添加发送明文密码的语句,准备一个接收后台。
PHP实例开发源码—Kivis 网站安全源码.zip
11-22
在本资源中,"PHP实例开发源码—Kivis 网站安全源码.zip" 提供了一个基于PHP的网站安全解决方案的实例代码。Kivis 是一个旨在提升Web应用安全性的框架或库,它可能包含了各种安全相关的功能模块,如输入验证、SQL...
PHP实例开发源码-爱客网(IKPHP)php开源社区.zip
11-23
PHP实例开发源码-爱客网(IKPHP)php开源社区】 IKPHP是一个基于PHP语言的开源社区系统,旨在为开发者提供一个功能完善、易于扩展的社区平台。这个项目展示了PHP在构建Web应用程序方面的强大能力和灵活性。通过研究...
CodeIgniter配置之SESSION用法实例分析
12-18
PHP中,SESSION通过在客户端(浏览器)存储一个唯一的SESSION ID(通常通过COOKIE)来实现这一目标,服务器端根据这个ID查找并恢复相应的会话数据。 在PHP中启动一个会话非常简单,只需要调用`session_start()`...
Session的工作机制详解和安全性问题(PHP实例讲解)
12-19
PHP的Session工作原理是,当用户访问带有Session功能的网页时,服务器会生成一个唯一的Session ID,并通过Cookie发送给浏览器。这个Session ID成为客户端与特定会话的关联标识。浏览器在后续的请求中携带这个Session...
java中cookie,session,验证码的应用实例!
08-13
在Java Web开发中,Cookie、Session和验证码是三个非常重要的概念,它们对于用户身份验证、...在实际项目中,还需要考虑如何优化会话管理,比如设置合理的Cookie和Session过期时间,以及防止Session劫持等安全问题。
网络安全学习笔记——盗取Cookies跨站脚本(XSS)
just do it
07-24 1417
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
JSONP劫持
jiet07的博客
08-30 1917
文章目录概述相关劫持JSONP漏洞的利用过程JSONP漏洞的危害other参考资料 JSONP劫持 概述 引入:因为浏览器为了防止个人信息暴露(cookie等),对浏览器设置了同源策略,这个时候,从不同的域(网站)访问数据需要一个特殊的技术(跨域请求),JSONP应用而生。 JSONP( JSON with Padding)是json的一种“使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 这样就很容易理解,JSONP劫持,就是攻击者attacker通过构造设计一个网站evil(网站中包
Session 会话劫持cookie窃取
Flynn的博客
04-08 1008
会话劫持 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户 思路 攻击者不获取用户的cookie和session,而是想办法让用户在不知情的情况自己去踩坑。 比如CSRF跨站脚本让已经被服务器验证通过的用户来帮攻击者完成危险操作。 1.攻击者构造特殊的界面,请求修改密码。 //evil.html &lt
劫持cookie原理(淘宝,天猫案例)
weixin_44915162的博客
08-23 1670
由于JavaScript能读取到页面的Cookie,而用户的登录信息通常也存在Cookie中,这就造成了巨大的安全隐患,这是因为在HTML页面中引入第三方的JavaScript代码是允许的: <!--www.example.com--> <html> <head> <script src="http://www.foo.com/jquery.js"></script> </head> ... </html> 如果引入的第三
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7153
【XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
Web安全笔记-Fidder与浏览器找关键CookieCookie劫持前的准备)
IT1995的博客
08-26 4555
目录 使用Fiddler的Replay and Edit找关键Cookie 使用浏览器找关键Cookie 使用Fiddler的Replay and Edit找关键Cookie 如下图: 通过修改Cookie 直接在raw上面修改,然后点击Run to Completion即可得到响应信息,通过响应信息,即可知道哪个是关键的Cookie。这个特别适用于有302临时重定...
白帽子讲Web安全
热门推荐
11-16 1万+
第一篇:世界观安全第一章:我的安全世界观一个网站的数据库,在没有任何保护的情况下,数据库服务端口是允许任何人随意连接的;在有了防火墙的保护后,通过ACL可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内,从而杜绝了绝大部分的攻击来源。1.1.3Web安全的兴起常见攻击:SQL注入,XSS(跨站脚本攻击)“破坏往往比建设容易”,但凡事都不是绝对的。一般来说,白帽子选择的方
浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
06-11 1879
说明 浏览器工作原理与实践专栏学习笔记 前言 支持页面中的第三方资源引用和 CORS 也带来了很多安全问题,其中最典型的就是 XSS 攻击。 什么是 XSS 攻击 XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。 恶意脚本能做的事情: 窃取 Cookie 信息 监听用户行为 修改 DOM 在页
Cookie 与session 通熟一点的理解, 并且Cookie劫持处理
wanghang88
06-18 4518
一:cookie 与session 通俗一点的理解 1. Cookie是什么? 2. 窃取的原理是什么? 3. 系统如何防Cookie劫持呢?   首先我们要明白这三个问题: Cookie与session  HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session. Cookie包含了浏览器客户端的用户凭证, 相对较小.
XSS攻击深度解析:实例展示与防范
攻击者可以通过注入的脚本来读取、复制甚至修改用户的Cookie,然后利用这些信息进行会话劫持,登录受害者的账号。例如,攻击者可能创建一个隐藏的iframe,该iframe指向一个由攻击者控制的URL,并在其中发送受害者的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值