那些遇到过的问题

可以在机器之间复制cookie来冒充用户吗?

kd7*_*kd7 13 asp.net security cookies xss index.dat

我们有一个应用程序,除其他外,检查cookie的存在并读取和解密cookie的内容.虽然存储在cookie中的数据不敏感,但它已通过TripleDes加密进行加密.今天提出的问题是,保存在单个PC上的cookie是否可以复制到另一台PC上,以及Web应用程序是否会在另一台机器上检测到这个复制的cookie的存在,并最终解密它在原始PC上的内容.

我的问题是:我们使用标准的ASP.NET实现来保存cookie(即通过HttpResponse),index.dat文件是否阻止cookie从一台机器移植到另一台机器?如果index.dat文件也被传输和复制,或者index.dat中是否存在将cookie绑定到特定机器的内部结构,该怎么办?

Mic*_*ren 16

绝对.这是跨站点脚本(XSS)攻击的一种工作方式:

  1. 我将javascript注入页面
  2. 我等着有人看看这个页面
  3. 我注入的javascript向我发送了你的cookie
  4. 我像你一样登录并做坏事

这种特殊的问题位,所以在内测期间.

Dav*_*itt 5

是的,窃取Cookie是窃取用户会话的一种常用技术。

某些站点尝试将cookie绑定到客户端的IP,但这在具有多个出站接口或其他非本地设置的大型公司代理的情况下失败。

归档时间:

查看次数:

2934 次

最近记录:

6 年,6 月 前
相关归档
Java中会话管理的最佳选择 51
在javascript代码中使用Url.Action的更好解决方案 23
如何处理ASP.NET MVC中的HTML5多文件上传? 16
从国家/地区名称或RegionInfo对象获取CultureInfo对象 15
使用实体框架作为数据访问层 13
session_id()和session_name()究竟是什么?说明如何在以下代码中使用它们 8
.textContent完全安全吗? 8
OAuth2 - 将访问令牌返回给用户是否安全? 7
HTML5 iframe沙箱属性问题 5
针对PHP安全漏洞的渗透测试 2
难疑归档
不同浏览器中URL的最大长度是多少? 4676
For-each在JavaScript中的数组? 4448
Docker与虚拟机有何不同? 3523
如何在jQuery中选择具有多个类的元素? 1985
HTML中id属性的有效值是什么? 1945
没有jQuery的$(document).ready等价 1925
如何在Linux中一步更改文件夹及其所有子文件夹和文件的权限? 1711
enctype ='multipart/form-data'是什么意思? 1290
如何让jQuery执行同步而非异步的Ajax请求? 1173
如何将本地jar文件添加到Maven项目? 1053