代码之家  ›  专栏  ›  技术社区  ›  Ta01

能否在计算机之间复制cookie以模拟用户?

index.dat xss cookies security asp.net
  •  12
  • Ta01  · 技术社区  · 16 年前

    我们有一个应用程序,它可以检查cookie的存在并读取和解密cookie的内容。尽管存储在cookie中的数据不敏感,但它是通过三重加密进行加密的。今天有人提出一个问题,保存在一台PC上的cookie是否可以复制到另一台PC上,Web应用程序是否可以检测到另一台计算机上存在复制的cookie,并最终解密它在原始PC上的内容。

    我的问题是: 我们使用标准的ASP.NET实现来保存cookie(即通过httpresponse),index.dat文件是否阻止cookie从一台机器移植到另一台机器?如果index.dat文件也被传输和复制,或者index.dat内部是否有一些将cookie绑定到特定机器的内部结构呢?

    4 回复  |  直到 14 年前
        1
  •  16
  •   shsteimer    16 年前

    当然。这是一种方法 cross-site scripting (XSS) attacks 工作:

    1. 我将javascript注入一个页面
    2. 我等着有人看那页
    3. 我注入的javascript发送给我你的cookie
    4. 我以你的身份登录做坏事

    这个特别的问题 bit SO 在私人测试期间。

        2
  •  4
  •   David Schmitt    16 年前

    是的,窃取cookie是从用户那里窃取会话的常见技术。

    有些站点试图将cookie绑定到客户机的IP,但面对具有多个绑定接口的大型公司代理或其他疯狂设置,这一点失败了。

        3
  •  1
  •   Ian Ringrose    14 年前

    即使其他一切正常,如果有人可以物理访问用户的机器,他们也可以将cookie复制到另一台机器上。

    例如,如果需要,只需克隆磁盘!

        4
  •  -1
  •   Dave_H    16 年前

    除了其他答案。不要相信任何来自web应用程序用户的东西,不管它是否加密。

    这与在客户机和服务器上验证输入的想法联系在一起。不要相信客户端的验证已经完成。

    推荐文章
    Farid  ·  限制django每个客户的访问
    2 年前
    josegp  ·  在Nmap中-p-tag是什么意思
    2 年前
    Anony Mous  ·  Python内置的哈希方法可靠且安全吗?[已关闭]
    2 年前
    Danny Gersh  ·  让网站成员上传js供其他成员使用有什么危险?
    2 年前
    Anonymous Creator  ·  在javascript中重新使用已通过身份验证的mvc客户端
    6 年前
    sauumum  ·  相互身份验证:ServerHelloDone之后“收到致命警报:握手失败”
    6 年前
    kramer65  ·  如何根据网站用户在S3上添加非公共网站文件?
    6 年前
    derf26  ·  如何阻止React Web包包含包中的脚本。json
    6 年前
    user8663960  ·  最好也是最简单的方法是保护登录表单的安全
    6 年前
    Nyein Chan Wynn  ·  Android:如何在生成指纹保护的密钥后立即使用它进行加密?
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号