说说试读cookie安全读后感
写的不咋滴
下面引用是来自
http://book.2cto.com/201301/14481.html
Web前端黑客技术揭秘 试读章节Cookie安全
引用 “Cookie是一个神奇的机制,同域内浏览器中发出的任何一个请求都会带上Cookie,无论请求什么资源,请求时,Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie,大多数情况下,客户端通过JavaScript也可以添加、修改和删除Cookie。”
这句话基本上说了cookie是什么 和怎样进行操作就不重复了
现在越来越多的黑阔用xss进行盗取用户或者管理员的cookie盗取目标网站的用户权限
Cookie的重要字段如下:
其含义依次是:名称、值、所属域名、所属相对根路径、过期时间、是否有HttpOnly标志、是否有Secure标志。
有几个字段是有专门的机制的
一个一个来
0x01子域Cookie机制
设置Domain 的值 可以进行共享cookie (不填为默认 本域不能为其他域名)
比如 你是 www.fuck.com 但你 domain = bingdao.com 那是行不通的
在查关于 子域cookie机制时
找到2个相关的博文
http://blog.csdn.net/civilman/article/details/5286426(跨子域的Cookie的清除问题在同一个环境下的2个网站 1.fuck.com 和 2.fuck.com 共用同一组cookie 但导致不能登出的问题的解决方法)
http://hi.baidu.com/thinkinginlamp/item/b1273444b6631ff4dc0f6ce6 (子域和根域下的同名Cookie) 在子域下请求时,浏览器会把子域和根域下的Cookie一起发送到服务器,那如果子域和根域下有一个同名Cookie,当我们在PHP里使 用$_COOKIE访问时,到底生效的是哪个呢?
我也有点感兴趣就同这个博文实验了下
我直接贴图和操作了
http://pan.baidu.com/share/link?shareid=379167&uk=67876677
感谢冰刀大牛分享,, 感谢分享 :lol感谢
同感啊不过正常 是技术的延伸
页:
[1]