Cookie--防劫持的处理

已于 2023-11-23 11:08:25 修改
阅读量1.1k 收藏 4
点赞数
分类专栏: web-计算机网络技术 文章标签: servlet
于 2020-12-03 10:14:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48052161/article/details/110520511
版权

Cookie与session

HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session.

  • Cookie包含了浏览器客户端的用户凭证, 相对较小.

  • Session则维护在服务器, 用于维护相对较大的用户信息.

用通俗的语言, Cookie是钥匙, Session是锁芯.

Cookie简单理解就是钥匙, 每次去服务端获取资源, 需要带着这把钥匙, 只有自己的锁芯(资源), 才能打开.。但是如果钥匙被别人拿了, 那别人就可以冒充你的身份, 去打开你的锁芯, 从而获取你的信息, 甚至挪用你的资金. 这是非常危险的.

XSS与CSRF

  • XSS(Cross SiteScripting,跨站脚本攻击)
    是注入攻击的一种,特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径
  • CSRF(Cross-site request forgery,跨站请求伪造),
    是通过伪造请求,冒充用户在站内进行操作

Cookie防劫持预防

基于XSS攻击, 窃取Cookie信息, 并冒充他人身份。

1) 方法一:

给Cookie添加HttpOnly属性, 这种属性设置后, 只能在http请求中传递, 在脚本中, document.cookie无法获取到该Cookie值. 对XSS的攻击, 有一定的防御值. 但是对网络拦截, 还是泄露了.

2)方法二:

在cookie中添加校验信息, 这个校验信息和当前用户外置环境有些关系,比如ip,user agent等有关. 这样当cookie被人劫持了, 并冒用, 但是在服务器端校验的时候, 发现校验值发生了变化, 因此要求重新登录, 这样也是种很好的思路, 去规避cookie劫持.

3)方法三:

cookie中session id的定时更换, 让session id按一定频率变换, 同时对用户而言, 该操作是透明的, 这样保证了服务体验的一致性.

4)方法四:

第一点说了请求令牌理论上是可破解的,所以非常重要的场合,应该考虑使用验证码(令牌的一种升级,目前来看破解难度极大),或者要求用户再次输入密码(亚马逊、淘宝的做法)。但这两种方式用户体验都不好,所以需要产品开发者权衡。

知行合一。。。
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
会话劫持漏洞小结——cookie劫持的方式、属性、原理、危害及
7Riven's blog
12-29 4088
会话劫持 概念 会话劫持(Session hijacking)是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 注:Session ID一般都设置在cookie 步骤 目标用户需要先登录站点 登...
flask-session-cookie-manager-master.zip
09-05
因此,对于安全性要求较高的应用,我们需要对session数据进行加密处理,确保即使cookie被截获,也无法直接获取到敏感信息。 “flask-session-cookie-manager-master”项目提供的功能可能包括: 1. **加密解密机制**...
中间人攻击之劫持登录会话(cookies)
weixin_30532759的博客
01-23 429
关于中间人攻击 中间人攻击(Man-in-the-MiddleAttack,简称"MITM攻击")是一种"间接"的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为"中间人"。 因为FreeBuf几位前辈已经给出了大量的中间人攻击的方法,这里就不再重复了。恰好看到FreeBuf目前没有关于中间人攻击劫持登陆回...
cookie劫持
12-23 607
Web安全之Cookie劫持
weixin_33943836的博客
07-03 376
  1.Cookie是什么? 2.窃取的原理是什么? 3.系统如何Cookie劫持呢? 看完这三个回答,你就明白哪位传奇大侠是如何成功的!!! Cookie: HTTP天然是无状态的协议,为了维持和跟踪用户的状态,引入了Cookie和Session。Cookie包含了浏览器客户端的用户凭证,相对较小。Session则维护在服务器,用于维护相对较大的用...
cookies劫持
qq_44504968的博客
01-07 309
一.实验基础 kali(zenmap,wireshark,hamster) 物理机 二.实验步骤 1.修改kali与物理机的网卡适配器,保证虚拟机中的kali系统能够和外部网络通信(若不可以关掉火墙) 2.修改kali镜像源 #vim /etc/apt/sources.list deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-f...
cookie-stealer:简单PHP-Javascript-XSS的Web服务器Cookie窃取脚本
05-09
Cookie被恶意获取,攻击者可能利用这些信息进行会话劫持,冒充用户身份执行操作。 【描述】:“饼干偷”提到的注入代码`[removed] = “ ” + [removed];</script>`是一种典型的XSS注入攻击。在易受攻击的文本字段...
E022-渗透测试常用工具-使用ferret进行Cookie劫持.pdf
12-02
停止Wireshark捕包,将捕获的数据包(cookie.cap)保存在桌面,方便后续处理。 7. **使用ferret**: 运行ferret工具来解析数据包,命令是`ferret -r cookie.cap`。ferret能够从数据包中提取出有价值的信息,如...
xss-labs.zip
03-18
2. 构造有效载荷:编写能触发XSS的JavaScript代码,例如弹出对话框、劫持用户会话或者重定向到恶意网站。 3. 御XSS:学习如何使用输入验证、输出编码、HTTPOnly Cookie等方法来止XSS攻击。 4. 模拟攻击:尝试在...
实验十一-网站程序与网站安全.pdf
12-03
止XSS攻击的方法包括正确地编码输出、使用HTTPOnly Cookie止会话令牌被盗,以及利用Content Security Policy (CSP)限制可执行脚本的来源。 4. **跨站请求伪造(CSRF)**:CSRF攻击利用用户已登录的身份执行非预期...
说说劫持 Cookie 的原理
weixin_34329187的博客
04-06 603
完成具体功能的恶意脚本(javaScript、Flash 等)称为 XSS Payload。黑客会通过这些脚本,来控制用户的浏览器。劫持 Cookie 就是一种 XSS Payload。 Cookie 中,一般加密存放着当前用户的登陆凭证。如果 Cookie劫持,那么黑客就可以不使用密码,直接登陆到用户的账号中。 1 窃取 Cookie 首先先在存在 XSS 漏洞的网站,加载一段远程脚本,形...
PHP安全编程之cookie暴露导致session被劫持
爱代码也爱生活
08-10 1931
使用Cookie而产生的一个风险是用户的cookie会被攻击者所盗窃。如果会话标识保存在cookie中,cookie的暴露就是一个严重的风险,因为它能导致会话劫持。 PHP为你处理相关会话管理的复杂过程 最常见的cookie暴露原因是浏览器漏洞和跨站脚本攻击(见专题前几部分)。虽然现在并没有已知的该类浏览器漏洞,但是以往出现过几例,其中最有名的一例同时发生在IE浏览器的4.0,
利用Backtrack劫持cookie
Coisini的博客
06-15 237
1、前言 还在用没有加密的wifi看微博吗? 小心您的cookie被人劫持,微博被人盗用! 本文我们将介绍如何使用arpspoof与wireshark和cookie injector脚本来劫持腾讯微博的cookie 2、arp毒化 开启内核IP转发:echo ”1″ > /proc/sys/net/ipv4/ip_forward 通过traceroute命令追踪网关地址,我们发现目前网关地...
利用arpspoof进行cookie会话劫持
paul123456789io的博客
03-29 2094
利用arpspoof进行cookie会话劫持 1.开启IP转发 root@kali-PC:~# echo 1 > /proc/sys/net/ipv4/ip_forward 2.基本信息 A:本机信息 192.168.1.104 B:.靶机 192.168.1.108 C:网关 root@kali-PC:
HTTP cookies 劫持详细过程及原理
Marsal的博客
07-23 3211
HTTP cookies 劫持详细过程及原理 一.HTTP cookies 劫持原理 指的是直接获取到你的cookie信息,不需要做任何的修改直接去访问服务器资源,例如:登录。这样类似于,我在自个电脑登录网银,传输过程中cookie信息被人截取,盗取后其在自己电脑上做登录我的账号信息 二.HTTP cookies 劫持实验步骤 1.修改虚拟机的网络编辑器 2.进行网络桥接 3.查看Kali和无线局域网适配器的IP地址 4.查看Kali和无线局域网适配器的IP地址是否能ping通 5.在Kali输
劫持cookie原理(淘宝,天猫案例)
weixin_44915162的博客
08-23 1645
由于JavaScript能读取到页面的Cookie,而用户的登录信息通常也存在Cookie中,这就造成了巨大的安全隐患,这是因为在HTML页面中引入第三方的JavaScript代码是允许的: <!--www.example.com--> <html> <head> <script src="http://www.foo.com/jquery.js"></script> </head> ... </html> 如果引入的第三
请解释一下Cookie劫持是什么,以及如何止?
最新发布
长风破浪会有时的博客
04-01 596
Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名或者我们喜欢的东西。这样,当我们下次再去那个网站的时候,网站就可以通过这个小标记来认出我们,并为我们提供更好的服务。但是,有时候坏人会想办法偷走我们的这个小标记,也就是Cookie,然后利用它来假冒我们的身份去做一些不好的事情,比如进入我们的账户或者窃取我们的信息。:当我们在使用网络的时候,要尽量使用安全的网络连接,比如家里的WiFi或者学校的网络。:首先,我们要确保我们的电脑和手机是安全的,不被坏人控制。
WEB应用系统安全规范.docx
10-28
WEB应用系统安全规范.docxWEB应用系统安全规范.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值