社区
ASP
帖子详情
能不能伪造cookie?
y2012
2014-02-27 05:06:45
因为用Session来保存登陆状态老是出现时间不准的情况,所以我使用cookie来保存登录状态,登陆成功以后把userid保存到cookie里面,后台验证的时候判断cookie("userID")是否为空。但是这样会不会带来一个问题,就是黑客伪造一个UserID的cookie,这样就能绕过验证逻辑,直接进入后台管理了。如果这样不安全应该怎么做?
...全文
877
3
打赏
收藏
能不能伪造cookie?
因为用Session来保存登陆状态老是出现时间不准的情况,所以我使用cookie来保存登录状态,登陆成功以后把userid保存到cookie里面,后台验证的时候判断cookie("userID")是否为空。但是这样会不会带来一个问题,就是黑客伪造一个UserID的cookie,这样就能绕过验证逻辑,直接进入后台管理了。如果这样不安全应该怎么做?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
3 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
hookee
2014-02-28
打赏
举报
回复
cookie 加密就行了。
scscms太阳光
2014-02-28
打赏
举报
回复
没错cookie是可伪造的。 cookie("userID"):里面的内容应该多信息合在一直然后md5加密才行。每次刷新都拿去数据库里核对。 比如:cookie("userID")="12_A???A" 表示用户ID=12 用户名+注册日期的MD5加密=A???A 每次刷新都去数据库里取出用户ID=12的用户名+注册日期用MD5加密,如果等于A???A就通过,否则就是伪造cookie.
Go 旅城通票
2014-02-27
打赏
举报
回复
你要是用cookie就没办法了,cookie可以伪造的 安全性提供下就是生成个GUID保存的到cookie中,服务器硬盘上同时也生成一个文件名为GUID的文件存储用户id,不过要读写硬盘,速度没session快了。。~ 黑客要猜测GUID就让他猜了。
vc
伪造
cookie
例子
vc
伪造
cookie
写
cookie
,通过代码来改写你想要的
cookie
,可以
伪造
本地保存
cookie
记录。
PHP 下好用的爬虫类 支持登陆抓取
伪造
cookie
PHP 下好用的爬虫类 支持登陆抓取
伪造
cookie
SSRF服务器端请求
伪造
漏洞精讲+实验
程声明:该课程是教学使用,视频内涉及漏洞利用方法,请勿在互联网环境中使用;维护互联网安全,人人有责。实验所需环境:vmware;kali虚拟机一台;windows server一台;有docker环境的Linux虚拟机环境下载地址在购买课程后单独发送 【课程配套资源】1、Python脚本(Margin老师自研,不光能学漏洞,还能学Python,实在是划算)2、与Margin老师实时互动3、免费的CISP-PTE考试技巧指导(Margin老师与CISP-PTE的负责人很熟的,非常多的一手消息^o^)4、Margin老师的内部直播可以优先参加5、Margin老师的课程基于CISP-PTE的知识体系进一步扩展,使课程内容更贴近实战 【课程主要解决问题】1、CSRF、SSRF搞不清楚?2、SSRF原理是什么?危害大小?如何利用SSRF获取主机权限?如果使用Python提高挖洞效率?3、Gopher协议、Dict协议?完全没听过啊,没关系,看完课程后你门清。4、SSRF渗透Redis数据库,Redis客户端和服务器端怎么通信?通信报文是怎么样的?看这里就行。5、SSRF渗透Struts2总是失败?不知道如何编码?不知道如何使用Gopher协议?来这里。6、SSRF表面简单,实则有无数坑,通过视频提高学习效率吧。 【CISP-PTE介绍】1、CISP-PTE是进入网络安全行业的TOP1认证,能帮你梳理完整的网络安全知识体系2、有PTE证书在网络安全公司是免技术笔试的,怎么样?是不是很棒。3、Margin老师的课程基于CISP-PTE的知识体系进一步扩展,使课程内容更贴近实战本课程属于CISP-PTE渗透测试工程师认证体系的课程,但内容更加丰富。CISP-PTE是国内第一个以动手实操为主的网络安全认证,该注册考试是为了锻炼考生世界解决网络安全问题的能力,持续增强我国的网络安全水平和防御能力,促进国内网络防御能力的不断提高。考试内容从多个层面进行,考点和网络安全动态相结合,真实的反应出真实的网络环境中发现的各种问题。如果要考取CISP-PTE证书需要掌握以下内容:1、Web安全基础,注入漏洞、上传漏洞、跨站脚本漏洞、访问控制漏洞、会话管理漏洞哦等。2、中间件的安全知识,如:Apache,IIS,Tomcat,以及 JAVA 开发的中间件 Weblogic,Jboss, Websphere 等,且要了解中间件加固方法,在攻与防的能力上不断提升。3、操作系统安全,包含Windows和Linux操作系统,从账户管理、文件系统权限、日志审计等方面讲解,了解常见的漏洞方式和加固方法。4、数据库安全,包含MSSQL、MYSQL、ORACLE、REDIS数据,了解常用的数据库漏洞和题全方法,保证数据库的安全性。 【关于Margin老师】· Margin/教育系统网络安全保障人员认证首批讲师/高级讲师· 擅长CTF/Web安全/渗透测试 /系统安全· 3年研发/擅长Java/Python/某银行现金循环机业务系统开发者· 曾参与开发网络安全认证教材· 知乎专栏/CISP-PTE渗透测试工程师学习· 4年线下网络安全讲师/2000+线下学员/100000+线上学员
通达OA前台
伪造
管理登陆
cookie
生成tongda.py
通达OA 前台
伪造
管理员登陆漏洞的
cookie
生成脚本,可以用以生成PHPsessionid,然后替换
cookie
,从而登陆通达OA后台。
php通过curl添加
cookie
伪造
登陆抓取数据的方法
主要介绍了php通过curl添加
cookie
伪造
登陆抓取数据的方法,涉及PHP基于curl操作
cookie
及页面抓取的相关技巧,需要的朋友可以参考下
ASP
28,391
社区成员
357,060
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章