`
qq370079140
  • 浏览: 15681 次
  • 性别: Icon_minigender_1
  • 来自: 厦门
社区版块
存档分类
最新评论

WEB安全:什么是Cookie,Cookie数据泄漏的危害

阅读更多

一、什么是Cookie

    简单来说,Cookie是网站在用户浏览器中保存下来的一份个人信息,有了Cookie,用户下次访问该网站时就可以免输入用户名甚至密码了(比如登陆淘宝网,用户名一栏就自动填充了,而为了安全,密码是必须的),因网站而异。另外,用户使用账号登陆网站后,要靠Cookie来维持会话Session,以保持在线状态,一旦清空当前网站对应的所有Cookie数据,用户将立即下线。真啰嗦,看图:

这是在OSChina登陆状态下的Cookie。接下来把它清除,然后刷新,结果如下:

可以看出,没有了Cookie,用户马上变成了游客身份,也就是用户维持登陆状态的信息已经不存在了。所以说,如果没有Cookie,许多网站都登陆不上去了。再比如,当用户访问京东等购物网站时,在不登陆的状态下,可以直接将选中的商品加入购物车,其原理也是基于Cookie来记录用户的购物车数据,只要不清除它,下次再打开该网站时,购物车依然能够显示添加的商品。

二、Cookie数据泄漏的危害

又以上面OSChina为例,如果我打开第二个浏览器(猎豹),以游客身份 访问oschina.net,然后 把之前浏览器(Chrome)Cookie中的oscid值取出来,注入第二个浏览器中,结果会怎么样呢。

通过脚本注入这个oscid值,然后刷新,即可看到,游客身份变成了在线用户。也就是说,有的网站就是通过一个或多个cookie值来映射到一个会员ID,只要任何一台电脑的任何一个浏览器中包含这些Cookie值,就可以 实现会员自动登陆 。当然,这个cookie值会有一个过期时间(由网站系统响应头决定),以保证一定的安全性,另外补充一点,oschina应该对cookie的oscid值禁用了js读取,以防网站未知的XSS跨站脚本漏洞导致用户账户被盗,所以为了演示的需要,我是从浏览器的设置功能中取出来的。

    cookie的作用不小,给用户和网站经营者带来很大的便利,但同时不可避免带来一些安全隐忧,只要我们保持安全意识,不在公共电脑上登陆敏感账户,我们就能趋利避害,享受cookie。

分享到:
评论

相关推荐

    Web应用安全:CSRF攻击手段与影响.pptx

    **CSRF(Cross-Site Request Forgery,跨站请求伪造)**是一种针对Web应用程序的攻击方式,它利用了用户浏览器的自动携带Cookie的功能,使得攻击者可以伪装成用户执行非授权的操作。这种攻击通常发生在用户已经登录...

    cookie注入工具

    在网络安全领域,Cookie注入是一种常见的攻击手段,它利用了Web应用程序对用户提交的Cookie值处理不当的漏洞。本文将深入探讨Cookie注入的概念、工作原理、危害以及如何防范。 Cookie注入,顾名思义,是攻击者尝试...

    南方数据新闻发布管理系统

    在Web应用中,Cookie是服务器发送到用户浏览器并存储的一小块数据,用于识别用户身份、保持登录状态等。当用户再次访问同一网站时,浏览器会自动将这些Cookie回传给服务器,以维持用户的个性化设置和会话信息。然而...

    WEB安全漏洞集锦

    WEB安全漏洞集锦中详细介绍了多种常见的网络安全隐患,每种漏洞都包括漏洞描述、危害、解决方案以及代码示例,为了保障网络应用的安全运行,对于这些漏洞的了解和防范措施的掌握显得尤为重要。 1. SQL注入漏洞:SQL...

    南方数据新闻发布管理系统-CSDN下载

    【南方数据新闻发布管理系统-CSDN下载】是一款专为新闻信息发布设计的管理软件,它具有Cookie注入功能,这在Web开发领域是一个重要的安全话题。本文将深入探讨Cookie注入的原理、危害以及如何防范。 Cookie注入是一...

    Web安全漏洞指导手册.rar

    《Web安全漏洞指导手册》是一本深入探讨Web应用程序安全问题的专业资料。在互联网技术日新月异的今天,Web安全愈发重要,无论是开发者、运维人员还是网络安全从业者,都需要对Web安全漏洞有深入的理解和防范措施。本...

    pikachu(新手web安全入门靶场).7z

    Web安全主要关注Web应用程序中存在的各种漏洞,这些漏洞可能被恶意攻击者利用,导致数据泄露、系统瘫痪或非法操作。常见的Web安全问题包括SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、文件包含漏洞、命令注入...

    E069-web安全应用-存储型XSS的场景实践.pdf

    E069-web安全应用-存储型XSS的场景实践 本资源讲解了存储型XSS(Cross-Site Scripting)的攻击场景实践,通过DVWA(Damn Vulnerable Web Application)平台来演示整个攻击过程。 知识点1:存储型XSS的定义和原理 ...

    程序员常见的WEB安全漏洞.pptx

    【网络安全】Web安全是程序员在开发过程中不可忽视的重要领域,主要关注的是防止应用程序遭受各种攻击。此PPT详细讲解了两个常见的Web安全漏洞:SQL注入和XSS(跨站脚本攻击)。 **SQL注入** SQL注入是由于对用户...

    ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf

    本文将深入探讨*** Web应用程序中常见的网络安全漏洞,并提供相应的解决方案。 首先,跨站点脚本攻击(XSS)是Web应用中最普遍和最危险的漏洞之一。XSS攻击者通常会将恶意的JavaScript代码注入到网站页面中,当其他...

    Web访问控制漏洞安全介绍.pdf

    横向越权漏洞的危害: * 横向越权漏洞可以导致攻击者访问或修改其他用户的信息,例如姓名、身份证号、手机号、邮箱等敏感信息。 * 横向越权漏洞可以导致网站安全问题,例如攻击者可以更改确认邮箱/手机号,可以...

    Hacking web architecture for fun and profit.ppt

    【网络安全】Web安全是互联网领域一个至关重要的主题,随着网络技术的发展,安全问题也日益凸显。Web客户端,即用户使用的浏览器及其插件,是黑客攻击的主要目标。客户端安全漏洞不仅威胁到用户的个人信息,还可能对...

    前端安全概览及防范

    **Clickjacking的危害:** - 用户在不知情的情况下触发了恶意操作,如购买昂贵的商品、分享虚假信息等。 **防范措施:** - **使用Content Security Policy (CSP)的frame-ancestors指令:** 控制哪些网站可以嵌入...

    经典:《网站系统安全开发手册》

    输入验证的重要性在于确保应用程序处理的数据是可靠的。如果未经过验证的数据被直接使用,则可能会导致一系列安全问题,如SQL注入、跨站脚本攻击等。此外,错误的数据可能会对其他依赖这些数据的应用程序造成负面...

    Web漏洞实战教程(DVWA的使用和漏洞分析)2013完整版

    Web漏洞是指在Web应用程序设计、开发或配置过程中存在的缺陷,这些缺陷可能导致系统被攻击者利用,从而造成数据泄露、系统瘫痪甚至是非法控制。常见的Web漏洞类型包括SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、...

    NET编程中的安全漏洞分析

    #### 二、.NET编程中的常见安全漏洞及其危害 **1. 对用户输入的过度信任** .NET框架默认认为用户输入是可信的,但在实际应用中,这种信任可能会被恶意用户利用。例如,SQL注入攻击和跨站脚本(XSS)攻击就是典型的...

Global site tag (gtag.js) - Google Analytics