代码之家  ›  专栏  ›  技术社区  ›  Ta01

可以在机器之间复制Cookie来冒充用户吗?

index.dat xss cookies security asp.net
  •  13
  • Ta01  · 技术社区  · 17 年前

    我们有一个应用程序,它检查cookie的存在,并读取和解密cookie的内容。虽然cookie中存储的数据并不敏感,但它已通过TripleDes加密进行了加密。今天有人提出了一个问题,即保存在单个PC上的cookie是否可以复制到另一台PC上,以及web应用程序是否会检测到该复制的cookie在另一台计算机上的存在,并最终解密它在原始PC上的内容。

    我的问题是: 我们使用标准的ASP。NET实现保存cookie(即通过HttpResponse),index.dat文件是否阻止cookie从一台机器移植到另一台机器?如果index.dat文件也被传输和复制,或者index.dat中是否有一些内部结构将cookie与特定机器联系起来,该怎么办?

    4 回复  |  直到 17 年前
        1
  •  16
  •   shsteimer    17 年前

    当然。这是一种方式 cross-site scripting (XSS) attacks 工作:

    1. 我在页面中注入javascript
    2. 我等待有人查看页面
    3. 我注入的javascript向我发送了你的cookie
    4. 我以你的身份登录,做坏事

    这个特殊的问题 bit SO 在私人测试期间。

        2
  •  4
  •   David Schmitt    17 年前

    是的,窃取Cookie是一种从用户那里窃取会话的常见技术。

    一些网站试图将cookie绑定到客户端的IP,但在具有多个外接接口或其他非驻留设置的大型企业代理面前失败了。

        3
  •  1
  •   Ian Ringrose    15 年前

    即使其他一切正常,如果有人可以物理访问用户的机器,他们也可以将Cookie复制到另一台机器上。

    例如,如果需要,只需克隆磁盘!

        4
  •  -1
  •   Dave_H    17 年前

    除了其他答案。永远不要相信来自网络应用程序用户的任何东西,无论它是否加密。

    这与在客户端和服务器上验证输入的想法有关。不要相信客户端的验证已经完成。

    推荐文章
    MaSc. H.  ·  大小与阵列大小
    11 月前
    David 54321  ·  我的密码在pyinstaller.exe中安全吗?
    1 年前
    Duong Duc Nguyen  ·  如何检测Windows应用程序(.exe)是否正在向外部发送数据?
    1 年前
    Michael  ·  某些Windows客户端上的命名管道安全问题
    1 年前
    al ice  ·  具有颤振的鲁棒认证
    1 年前
    adamency  ·  是否可以从Go二进制文件的源代码中检索字符串?
    1 年前
    Tricotou  ·  $.get(code_url)执行返回的代码,不使用eval(),也不将其附加到DOM。jQuery安全性失败?
    1 年前
    AlboSimo  ·  PayPal Api密钥安全
    1 年前
    Jordan Regan  ·  仅在响应中保护HTTP cookie,但不保护请求
    1 年前
    kellerkindt  ·  不带查询字符串的Apache2 ProxyPass
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号