willwen 2013-11-02 12:22
浏览 564
已采纳

关于cookie欺骗的问题

最近在参与系统架构方面设计的时候,
大家总是会讨论到这样的一个问题:
暴露到公网的一个服务,如果cookie信息被截取到了,
那别人就可以用你的身份信息登录到该系统。
这里指的是直接获取到你的cookie信息,不需要做任何的修改直接去访问服务器资源,例如:登录。
这样类似于,我在自个电脑登录网银,传输过程中cookie信息被人截取,盗取后其在自己电脑上做登录我的账号信息。
问题是:
1、这种传输过程中被截取的可能性有多大?用的是https协议
2、如何防止这种情况

说下鄙人自己的理解,本身https就是业界的规范。可以确保传输的信息的安全性,另外,即使cookie信息被获取到,由于服务器是基于sessionId识别客户的,所以黑客攻击也是要基于客户本身也是登陆的情况,如果客户退出了。即使再那截取到的cookie,传到服务器段也是不认,同样是需要再重新登陆的。

希望有高手能帮忙指点下!

  • 写回答

1条回答 默认 最新

  • ll89308839 2013-11-02 22:43
    关注

    1.https 做了加密,这个还是比较安全的
    2.cookie的登录信息,可对用户登录ip进行校验。登录ip发生变化,可做出锁定帐号之类的控制

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • 关于cookie欺骗问题
    2013-11-02 12:22
    回答 1 已采纳 1.https 做了加密,这个还是比较安全的 2.cookie的登录信息,可对用户登录ip进行校验。登录ip发生变化,可做出锁定帐号之类的控制
  • 关于爬虫cookie相关问题 python
    2022-04-13 13:25
    回答 3 已采纳 既然你写的是爬虫,那你就把拿到cookie的方式分析然后模拟一遍,比如登陆
  • 关于js设置cookie问题
    2015-04-15 08:46
    回答 1 已采纳 首先你得确保你的setcookie执行了 ``` function SetCookie(name,value) { var Days = 30; //此 cookie 将被保存 3
  • 老兵cookie欺骗.rar
    2021-06-14 15:08
    在IT安全领域,尤其是Web应用安全方面,"老兵cookie欺骗.rar"这个压缩包文件似乎包含了一个工具,专门用于DVWA(Damn Vulnerable Web Application)实验平台。DVWA是一个开源的安全学习平台,它模拟了各种常见的Web...
  • 关于cookie缓存的一些问题 http 服务器
    2017-06-05 07:47
    回答 2 已采纳 网页中的script脚本也可以操纵cookie
  • 关于js保存cookie问题 javascript
    2015-03-10 05:18
    回答 2 已采纳 cookie的值你要想将数组转为对应的字符串才能存储,直接c_name+ "=" + value ,value是数组调用toString方法后得到的内容就是[object,Object],[objec
  • 关于微信浏览器的cookie问题 微信
    2015-10-28 06:37
    回答 1 已采纳 可以根据微信用户openid 来区分,但是需要服务号有oatoh2.0网页权限
  • cookie 修改欺骗必备工具
    2018-12-29 17:02
    这就是所谓的Cookie欺骗。因此,了解如何修改Cookie并识别潜在的安全风险至关重要。 Cookie修改欺骗工具通常具备以下功能: 1. 查看和编辑:这类工具允许用户查看已存储在浏览器中的所有Cookie,并对特定Cookie的...
  • 前端浏览器账户缓存问题 关于cookie javascript
    2021-10-20 16:43
    回答 1 已采纳 你把正式员工和兼职员工的COOKIE名设置成不一样,页面再根据COOKIE名做一个判断,给权限
  • Java 关于Cookie的蛋疼问题 java
    2012-12-10 11:57
    回答 6 已采纳 [quote]一、删除已知名称的Cookie(方案:重新建立同名立即删除类型的CookieCookie newCookie=new Cookie(“username”,null); //假如
  • 力系统cookie存储问题 php 有问必答
    2022-09-13 12:21
    回答 2 已采纳 cookie存储大小有限制,不宜存储过大的数据。而且php一般是要保存到服务器端数据库中的。如果只是为了测试,不想配置服务器,可以使用Storage对象 JavaScr
  • 桂林老兵cookie欺骗工具
    2014-10-11 15:00
    桂林老兵Cookie欺骗工具是一款在IT安全领域中被广泛讨论的工具,主要用于网络安全研究和测试。这个工具因其在Cookie管理及欺骗技术方面的应用而知名,尤其对于理解Web安全和防御策略的专家来说,它是一个重要的学习...
  • djiango 中cookie获取问题 django python
    2022-03-14 17:57
    回答 1 已采纳 https://docs.djangoproject.com/zh-
  • Bugku-Web-cookie欺骗.docx
    2019-05-16 13:53
    Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
  • cookie欺骗
    2021-10-31 17:39
    Nothing-one的博客 什么是cookie欺骗 现在有很多社区网为了方便网友浏览,都使用了cookie技术以避免多次输入密码(就如the9和vr),所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。 COOKIE欺骗原理 按照...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 metadata提取的PDF元数据,如何转换为一个Excel
  • ¥15 关于arduino编程toCharArray()函数的使用
  • ¥100 vc++混合CEF采用CLR方式编译报错
  • ¥15 coze 的插件输入飞书多维表格 app_token 后一直显示错误,如何解决?
  • ¥15 vite+vue3+plyr播放本地public文件夹下视频无法加载
  • ¥15 c#逐行读取txt文本,但是每一行里面数据之间空格数量不同
  • ¥50 如何openEuler 22.03上安装配置drbd
  • ¥20 ING91680C BLE5.3 芯片怎么实现串口收发数据
  • ¥15 无线连接树莓派,无法执行update,如何解决?(相关搜索:软件下载)
  • ¥15 Windows11, backspace, enter, space键失灵