多次登录同一cookie skey 【低危】

于 2021-08-31 13:56:55 发布
阅读量535 收藏
点赞数
分类专栏: 渗透测试基础 文章标签: html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43650289/article/details/120016095
版权
本文讨论了多次登录同一cookie skey的安全隐患,指出这可能导致攻击者获取用户的会话凭证。内容包括问题简介,攻击过程及避免此类风险的建议,如避免设置永久性cookie并限制其有效期。
摘要由CSDN通过智能技术生成

目录

简介

过程

建议

简介

多次登录同一cookie skey 1234567890000000,可能使攻击者获得用户的会话凭证

     发现目标存在永久性Cookie。这可能使攻击者通过其他方式获得用户的会话凭证,这个时候,例如利用xss漏洞获得Cookie或者Session劫持就很有效了,具体分析应用程序的认证,然后使用某些技巧,甚至可以即使对方退出程序也一样永久性获得对方的身份,在未来很长时间甚至永久的控制账户

过程

打开网页抓包看流量包内信息

重复登录抓包显示

建议

不要设置cookie为永久性的,修改coo

了解本专栏 订阅专栏 解锁全文 超级会员免费看
战神/calmness
关注
专栏目录
订阅专栏
cookie信息登录
weixin_43512511的博客
08-03 889
cookie cookie是什么? 在网站中,http请求是无状态的。也就是说即使第一次和服务器连接后并且登录成功后,第二次请求服务器依然不能知道当前请求是哪个用户。cookie的出现就是为了解决这个问题,第一次登录后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当该用户发送第二次请求的时候,就会自动的把上次请求存储的cookie数据自动的携带给服务器,服务器通过浏览器携带的数...
Jmeter如何保持cookie,让所有请求都能用同一cookie,免去提取JSESSIONID
aiwanwen7584的博客
07-03 764
近期有柠檬班的学生找到华华,问了一个问题,就是利用Jmeter做接口测试的时候,如何提取头部的JSESSIONID然后传递到下一个请求,继续完成当前用户的请求。 其实,关于这个问题有三种种解决方法: 1)从响应数据里面提取JSESSIONID,点击链接可以查看https://www.cnblogs.com/liulinghua90/p/5320290.html 2)如果响应数据里面...
python cookies 中多个 相同 的健和键值_在python中如何在多个请求中使用相同的cookies?...
weixin_39747334的博客
12-16 211
我使用这个代码:def req(url, postfields):proxy_support = urllib2.ProxyHandler({"http" : "127.0.0.1:8118"})opener = urllib2.build_opener(proxy_support)opener.addheaders = [('User-agent', 'Mozilla/5.0')]return ...
Cookie的几个细节
匿名攻城狮
01-20 941
文章目录一、一次可以发送多个Cookie吗?二、Cookie在浏览器中能保存多长时间?(1)Cookie存储在内存(2)Cookie存储在硬盘三、Cookie能不能存储中文?四、Cookie获取范围多大? 一、一次可以发送多个Cookie吗? 可以创建多个Cookie对象, 使用response调用多次addCookie方法发送Cookie即可。 (1)演示一次发送多个Cookie。 创建两个S...
为什么两次打开浏览器,cookie或session的值是一样的
yandajiangjun的博客
02-19 1022
为什么两次打开浏览器,cookie或session的值是一样的。 遇到这个问题时,很是头疼,其实原因很简单,是因为浏览器启动时,设置的是“从上次中断的地方继续”,我们把这个设置调整为“打开新标签页”就能解决问题。是不是很简单。 ...
需要在同一会话中,处理2次请求的做法
linhaisteve
05-05 314
1 先获取第一请求的cookie信息 2 把第一次获取的cookie携带给第2次请求 代码如下: import org.apache.commons.httpclient.HttpException; import org.apache.commons.httpclient.HttpStatus; import org.apache.commo...
QQ的Skey利用工具
10-07
QQ的Skey是一个重要的安全凭证,它涉及到QQ的登录安全机制。Skey是腾讯QQ为了保护用户账号安全而引入的一种密钥,它在用户登录时用于验证身份,防止恶意攻击者通过盗取密码来非法登录。这个“QQSkey利用工具”可能是...
一次性口令认证系统SKEY的实现
04-03
基于sky的一次性口令认证系统的实现,其中包含了多段代码
基于Python实现的SKey身份认证协议.zip
06-12
2.用户登录日志记录 本项目中S/Key协议认证过程 1.客户端连接服务器,提示用户输入用户名,将输入的用户名发送到服务器 2.服务器在用户信息字典中查询,根据用户名是否存在向客户端发送不同的反馈信息 3.客户端收到...
解决java后台登录前后cookie不一致问题
08-31
本文主要介绍了java后台登录前后cookie不一致的解决方案,具有很好的参考价值,需要的朋友一起来看下吧
ssm整合shiro框架,要求登录前后更新Cookie或者Session
weixin_43253247的博客
08-24 622
登录前后会话标识不变容易被别有用心的人利用,所以强制更新会话标识。 SecurityUtils.getSubject().logout(); 在登录前告诉系统之前的会话标识作废,重新生成会话标识
微信小程序之获取skey保持登陆状态
weixin_44883745的博客
09-11 999
以获取用户手机号为例子,自己亲测。可以获取,可以保持 (1)首先调取小程序登陆接口,拿到code; (2)然后把这个code传给后台,后台会根据这个code返回数据; (3)用原生小程序,调取手机号接口,获取到encryptedData,iv等值,然后调取后台接口,要把code,encryptedData,iv传递给后台,后台会根据这两个值进行解密,解密完以后后台会获取到手机号,然后会返回给前端。 如何保持登陆状态? (1)在上面已经说到,先登陆拿到code,在获取手机号接口的时候,后台会请求小程序的接口,
Cookie有效性(持久化)
weixin_44050355的博客
11-25 1040
web漏洞解决办法
热门推荐
Love life, Beyond the game! - Apollo
06-22 2万+
通过绿盟软件检测到的问题
今日分享===Cookie & Session
weixin_45116848的博客
07-09 114
今天总结一下Cookie & Session的小知识. Cookie对象是一种浏览器的技术 它是通过服务器的程序能将一些只须保存在客户端,或者在客户端进行处理的数据,放在本地计算机上,不需要通过网络传输. cookie的大小在4kb左右,每个浏览器在同一域名小存放cookie的数量是有限的,谷歌浏览器大约是50个. 优点:提高网页的效率,减轻服务器的负载 缺点:安全性较差 Cookie对象...
cookie的持久化管理
RungBy的博客
12-28 2844
okhttp自带一个cookie管理器 public static OkHttpClient getClient() { if (client == null) { synchronized (OkHttpClient.class) { if (client == null) { H...
cookie(会话cookie和持久化cookie) 和 session 以及 在爬虫登录抓取的理解
Fupengyao的博客
04-25 6522
1、第一次访问服务器,会生成一个session 2、response  会返回一个sessionId,存在会话cookie 3、Sessinon在用户访问第一次访问服务器时创建,需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session。在一个javaweb应用中,可调用request.getSession(boolean
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

战神/calmness

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值