Cómo prevenir la suplantación de cookies
Principio del engaño de las COOKIES
Según el acuerdo del navegador, sólo se pueden leer y escribir cookies del mismo nombre de dominio, y las cookies son sólo para el navegador y son compatibles
El protocolo de comunicación no tiene ningún impacto, por lo que hay muchas formas de realizar la suplantación de cookies:
1. Omitir el navegador y reescribir directamente los datos de comunicación
2. navegador para permitir la navegación El navegador puede leer y escribir cookies de cualquier nombre de dominio localmente
3 Utilice scripts firmados para permitir que el navegador lea y escriba cookies de cualquier nombre de dominio localmente (existen problemas de seguridad) p>
4. Engañar al navegador, permitiendo que el navegador obtenga un nombre de dominio falso
Entre ellos:
Los métodos 1 y 2 requieren conocimientos de programación más profesionales y no son adecuados. para usuarios comunes.
Hay dos formas de implementar el método 3:
1. Utilice el script de firma directamente, no se requiere verificación de firma, pero causará graves problemas de seguridad porque todos tienen que conectarse.
p>Sí, si haces esto, los archivos de tu disco duro...
2. Firma el script antes de usar el script de firma, pero requiere una herramienta de firma digital especial. , que no es apto para usuarios normales
Adecuado.
El método 4 parece ser el más adecuado. La suplantación de nombres de dominio es muy sencilla y no requiere ninguna herramienta (por supuesto, sería mejor si tu máquina
está equipada con una web). server), a continuación tomaré the9 como ejemplo. Basado en este método, explicaré el proceso de engaño de cookies (the9 ha mejorado todos los errores del lado del servidor mencionados a continuación, por lo que este artículo no tendrá ningún impacto en la seguridad).
):
Nota: La cookie que estamos discutiendo es el tipo de cookie que no deja rastros en el archivo de cookies en el disco duro, es decir, el tipo que solo /p>
Una cookie generada durante el ciclo de vida del navegador (sesión), si el navegador se cierra (la sesión finaliza) entonces esta cookie será
Principio de engaño de la COOKIE
Según el navegador Según Según el acuerdo, solo se pueden leer y escribir cookies del mismo nombre de dominio, y las cookies son solo para el navegador y no tienen ningún impacto en el protocolo de comunicación. Por lo tanto, existen muchas formas de falsificar cookies:
1. Omita el navegador y reescriba directamente los datos de comunicación
2. Modifique el navegador para que pueda leer y escribir cookies de cualquier nombre de dominio localmente
3. navegador para leer y escribir cualquier cookie de nombre de dominio localmente (hay problemas de seguridad)
4. Engañar al navegador y permitir que obtenga un nombre de dominio falso
Entre ellos:
Los métodos 1 y 2 requieren conocimientos de programación más profesionales y no son adecuados para usuarios normales.
Hay dos formas de implementar el método 3:
1. Utilice el script de firma directamente, no se requiere verificación de firma, pero causará graves problemas de seguridad porque todos tienen que conectarse.
p>Sí, si haces esto, los archivos de tu disco duro...
2. Firma el script antes de usar el script de firma, pero requiere una herramienta de firma digital especial. , que no es apto para usuarios normales
Adecuado.
El método 4 parece ser el más adecuado. La suplantación de nombres de dominio es muy sencilla y no requiere ninguna herramienta (por supuesto, sería mejor si tu máquina
está equipada con una web). server), a continuación tomaré the9 como ejemplo. Basado en este método, explicaré el proceso de engaño de cookies (cualquier error del lado del servidor mencionado a continuación ha sido mejorado por the9, por lo que este artículo no tendrá ningún impacto en la seguridad). >
):
Nota: La cookie que estamos discutiendo es el tipo de cookie que no deja rastros en el archivo de cookies en el disco duro, es decir, el tipo que solo /p>
Cookies generadas durante la vida útil del navegador (sesión). Si el navegador se cierra (la sesión finaliza), esta cookie
se eliminará.