| COOKIE欺骗 |
| 作者:内详 来源:网络搜集 点击数:
更新时间:2008-3-31 10:08:32 |
|
|
注意:阅读前推荐您注册淘宝网(全国最大的个人网上交易平台)账号!
体验竞价享受网上交易的乐趣!!!注册完全免费!!!
点击下面的大图进入淘宝网注册!
现在有很多社区网为了方便网友浏览,都使用了cookie技术以避免多次输入密码(就如the9和vr),所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。
COOKIE欺骗原理
按照浏览器的约定,只有来自同一域名的cookie才可以读写,而cookie只是浏览器的,对通讯协议无影响,所以要进行cookie欺骗可以有多种途径:
1、跳过浏览器,直接对通讯数据改写
2、修改浏览器,让浏览器从本地可以读写任意域名cookie
3、使用签名脚本,让浏览器从本地可以读写任意域名cookie(有安全问题)
4、欺骗浏览器,让浏览器获得假的域名
其中:
方法1、2需要较专业的编程知识,对普通用户不太合适。
方法3的实现有2种方法:
1、直接使用签名脚本,不需要签名验证,但是产生很严重的安全问题,因为大家都要上网的,如果这样做你的硬盘文件就……
2、对脚本进行签名后再使用签名脚本,但是需要专用的数字签名工具,对普通用户也不合适。
方法4看样子应该是最合适的了,域名欺骗很简单,也不需要什么工具(当然如果你的机器装有web服务器那更好了),下面我以the9为例,以这种方法为基础,阐述一下cookie欺骗的过程(下文中提到的任何服务端的bug,the9都已经做了改进,所以本文对the9无安全方面的影响):
[1] [2] [3] [4] [5] 下一页
|
|
| 教程录入:yxdoor 责任编辑:yxdoor |
上一篇教程: 一种效率极高的分类算法
下一篇教程: 网站走向成功的12个步骤 |
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
