Cookie攻击

最新推荐文章于 2024-01-23 23:07:44 发布
最新推荐文章于 2024-01-23 23:07:44 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53386866/article/details/114237910
版权

Cookie攻击
一、Cookie基础介绍
1.简介:
cookie是用户浏览网页时网站存储在用户机器上的小文本文件。
主要记录与用户相关的一些状态或者设置, 比如用户名、ID、 访问次数等。
当用户下一次访问这个网站的时候,网站会先访问用户机器上对应的该网站的Cookie文件。
2、Cookie的作用
Cookie最大作用维持会话的凭证
减少登录网站的次数
记录关于用户信息
3, Cookie的逻辑
0 IT Ree . Re-Cos
国eTP Rqge Co
Web Clent
Web Server
国HTP Re
4. cookie的类型
根据Cookie的时效性以及相关特点,可以把它分为两种类型:持久型Cookie和临时型Cookie
持久型Cookeil以文本形式存储在硬盘上,由浏览器存取
临时型Cookie也称为会话Cookie,存储在内存中,关闭当前浏览器后会立即消失
5. Cookie的操作
浏览器通过Document对象访问Cookie(前面用document函数获取过cookie信息
cookie安全document.cookie函数)
若要创建一个Cookie, 只要将特定格式的字符申赋给document.cookie即可:
cookieName=cookieValue; expriationdate; path
后端语言处理方式:
setrawcookie()
setcookie0
6、Cookie的属性
Cookie的属性
Name- - - -Cookie的名称 ;
Value- --读写Cookie的值;
Expires–通过给定- 一个过期时间来创建- -个持久化Cookie;
Path- - -关联到Cookie的路径,默认为/;
Domain–设 置关联Cookle的域名:
Secure–用于指定Cookie需要通过安全Socket层连接传递
Http0nly–用 于避免Cookie被lavaScript访问;
二、Cookei会话攻击原理

  1. Cookie会话攻击原理剖析
    (1) 获取客户端cooki信息

cookie=" +document.cookie
注:这里看到,想要获取cookie信息就要用到XSS的漏洞,这里时利用document.cookie的方
法去读。将读到的cookie信息发送到我们自己搭建好的网站。这ttp://www.test.com就是我们
搭好的网站,location作用是你点击都将页面跳转至我们搭建好的网站
2.

kissmeng.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全】XSS之Cookie外带攻击姿势及例题详析
等风来
05-19 7167
XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
cookie
Marin的博客
05-31 178
Cookie的由来 大家都知道HTTP协议是无状态的。 无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不会直接影响后面的请求响应情况。 一句有意思的话来描述就是人生只如初见,对服务器来说,每次的请求都是全新的。 状态可以理解为客户端和服务器在某次会话中产生的数据,那无状态的就以为这些数据不会被保留。会话中产生的数据...
“黑客”入门学习之“Cookie技术详解”
Python栈_基的博客
03-01 1669
"重放攻击"大家应该听说过吧?重放攻击时黑客常用的攻击方式之一,攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击监听http数据传输的截获的敏感数据大多数就是存放在Cookie中的数据。在web安全中的通过其他方式(非网络监听)盗取Cookie与提交Cookie也是一种
Cookie篡改攻击
qfzhaohan的博客
12-09 5480
什么是cookie篡改? 在我们深入探讨前,我们先快速地理清一下术语。狭义上,cookie篡改攻击指直接修改已存在的cookie值。cookies只是存储在用户浏览器的文本值,因此,如果没有额外的防护措施,你可轻松地通过手动或者Javascript的document.cookie属性修改它们。幸运的是这样基础的攻击很少可能出现在现代web开发中,因为现代web开发中会话管理和其它涉及cookie操作的通常框架层面完成。 更广泛地说,“cookie篡改”这术语通常指所有的cookie相关的攻击,即使不涉及
Web安全原理剖析(九)——cookie注入攻击
热门推荐
Phantom03167的博客
09-27 1万+
cookie注入攻击
什么是Cookie-Session重放攻击
xsgnzb的专栏
03-07 966
Cookie-Session 重放攻击是一种网络攻击方式,攻击者利用被攻击者已有的认证 Cookie 或 Session ID 等信息,重复发送该信息进行身份验证,从而获得访问权限。
利用Cookie攻击
12-03
### 利用Cookie攻击 #### 一、Cookie欺骗与注入概述 在网络安全领域,Cookie攻击是一种常见的威胁方式,主要包括Cookie欺骗和Cookie注入两种形式。这两种攻击手段都利用了Web应用程序对于用户状态信息管理不当的...
中间人攻击Cookie
03-24
【中间人攻击Cookie】是网络安全领域中一个重要的知识点,主要涉及的是Web应用程序的安全性和用户数据的保护。在这个话题中,我们将深入理解中间人攻击(Man-in-the-Middle,MITM)的概念,以及它如何利用Cookie来...
cookie中转sql攻击
03-25
【标题】:“Cookie中转SQL攻击” 在网络安全领域,Cookie中转SQL攻击是一种利用用户浏览器中的Cookie信息,构造恶意请求,以执行非法SQL查询的技术。此类攻击通常针对那些不安全的Web应用程序,尤其是那些没有对...
cookie机制
03-08
- **HttpOnly属性**:该属性用于阻止客户端脚本访问Cookie,从而减少XSS攻击的风险。 - **SameSite属性**:用于防止跨站点请求伪造(CSRF)攻击。 ### Cookie的编程实现 在编程中,可以根据不同的语言和框架设置和...
安全科普:使用Cookie会导致哪些安全问题?
chiansec_的博客
01-12 9741
0x01 Cookie的前世今身 Cookie指某些网站为了辨别用户身份而储存在用户本地客户端上的数据。 因为HTTP协议是不保存用户状态的,这使得用户在交互式的web应用中体验非常差。 在一个网上购物的场景中,用户向购物车添加了一些商品,最后结账时,由于HTTP的无状态性,不通过额外参数,服务器并不知道哪位用户购买了哪些商品。在这种场景下,服务端可通过设置或读取Cookie中包含的信息,维护用户的会话状态。 0x02 由Cookie延伸出的漏洞 在这篇文章中,我们将列出各种攻击.
跨站脚本攻击(XSS)
知之为知之,不知为不知
10-07 1580
支持页面中的第三方资源引用和 CORS 也带来了很多安全问题,其中最典型的就是 XSS 攻击。 什么是 XSS 攻击 XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。 最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往 HTML 文件中注入恶意代码的方式越来越多了
会话劫持漏洞小结——cookie劫持的方式、属性、原理、危害及防御
7Riven's blog
12-29 4164
会话劫持 概念 会话劫持(Session hijacking)是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 注:Session ID一般都设置在cookie 步骤 目标用户需要先登录站点 登...
什么是cookie注入及其原理
k1k5cn的博客
11-10 2165
随着网络安全技术的发展,SQL注入作为一种很流行的攻击方式被越来越多的人所知晓。很多网站也都对SQL注入做了防护,许多网站管理员的做法就是添加一个防注入程序。这时我们用常规的手段去探测网站的SQL注入漏洞时会被防注入程序阻挡,遇到这种情况我们该怎么办?难道就没有办法了吗?答案是否定的。 我们知道,一般的防注入程序都是基于“黑名单”的,根据特征字符串去过滤掉一些危险的字符。一般情况下,黑名单是不安全的,它存在被绕过的风险。比如有的防注入程序只过滤了通过GET、POST方式提交的数据,对通过Cookie方式提交
【计算机网络】深入了解Cookie机制
黑黑白白君的博客
05-16 1068
文章目录1)什么是CookieCookie的作用Cookie的内部细节如何查看某个网站颁发的Cookie?方法一:通过请求头查看方法二:通过JS查看2)Cookie是如何工作的?2.1 Cookie的工作原理2.2 服务端操作Cookie添加cookie到客户端:Cookie常用属性String name:Object value:int maxAge:String path:String domain:boolean secure:获取客户端 cookie 对象:修改、删除:2.3 JS操作Cookie
一文让你彻底搞懂cookie和session产生漏洞的原理
最新发布
carrot11223的博客
01-23 1072
这种再次请求的时候,cookie里面就不会再出现敏感值,但是存在sessionid的值,一个sessionid对应一个session,session可以理解为打电话,如果一方挂断了电话,就结束了本次通话,当第二次用另一个浏览器进行访问的时候(另外一次电话连接),sessionid就已经变了,不同的电话连接有不同的session,既然cookie可以进行cookie伪造,那session可以嘛?那盗取又是什么意思呢?可以看到无论是cookie还是session都可以进行身份验证,只是储存的位置不一致。
了解cookie以及cookie跨站点伪造攻击(CSRF)
我的专栏
05-15 2749
背景知识: 很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要纪录谁在某一段时间里浏览了什么 文档,每次请求都是一个新的Http协议,就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我 来说是全新的,这段时间很嗨皮。 但是,随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理回话, 必须记住那些人登录系统,那些人往自己的购物车中放商品,也就是说我必须把每个人区分开,这就是一个不小的挑战, 因为HTTP请求是无状态.
【web-攻击用户】(9.7.1)本地隐私攻击:持久性cookie、缓存Web内容、浏览历史记录、Flash本地共享对象……
08-29 743
【本地隐私攻击】持久性cookie、缓存Web内容、浏览历史记录、Flash本地共享对象……
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值