防止cookie 欺骗
按照浏览器的约定,只有来自同一域名的cookie才可以读写,而cookie只是浏览器的,对通讯协议无影响,所以要进行cookie欺骗可以有多种途径,最简单的方法自己建立一个网站,在C:\WINDOWS\system32\drivers\etc\hosts 中把这个自己建立的网站制定成想要欺骗的域名,cookie写入以后再把hosts的值改回来,这样这个本地的网站的cookie就可以抛到你想要入侵的域名下。
这个漏洞可能大家都知道,关键是怎么预防,依照我个人的理解解决方法如下:
请支持我的网站:http://www.haoy7.com 好游戏网
登陆代码:
public void Logined(ModelUser model){int outTime = GetLoginOutTime();HttpContext.Current.Response.Cookies["USERNAME"].Value=model.User_Name;HttpContext.Current.Response.Cookies["USERNAME_CHECK"].Value =DesSecurity.DesEncrypt(model.User_Name);HttpContext.Current.Response.Cookies["USERNAME"].Expires = DateTime.Now.AddMinutes(outTime);HttpContext.Current.Response.Cookies["USERNAME_CHECK"].Expires = DateTime.Now.AddMinutes(outTime);SetUserModel(model);}
可以看到保存了两个cookie值,都是用户名,一个是加密的一个是未加密的
验证是否登陆的代码如下:
public bool IsLogin(){bool isLogin = false;if (HttpContext.Current.Request.Cookies["USERNAME"] != null){if (HttpContext.Current.Request.Cookies["USERNAME_CHECK"] != null){string userName = HttpContext.Current.Request.Cookies["USERNAME"].Value;string userNameCheck = HttpContext.Current.Request.Cookies["USERNAME_CHECK"].Value;if (userName == DesSecurity.DesDecrypt(userNameCheck))isLogin = true;}}return isLogin;}
OK了。
注意:代码是给需要的人看的,本人水平有限也不是作家请不要妄加评论,谢谢!
转载于:https://www.cnblogs.com/haog/archive/2011/02/17/1956904.html
防止cookie 欺骗相关推荐
- 一些cookie欺骗的文章
COOKIE欺骗(上) http://www.20cn.net/ns/hk/hacker/data/20020822040923.htm COOKIE欺骗(下 http://www.20cn.net/ ...
- Cookie欺骗的原理
Cookie欺骗的原理 当访问asp.net网站时(这里用的是chrome), 如下图所示: 然后点击"审查元素"菜单时,如下所示: 再查看"Resources" ...
- BugkuCTF-WEB题cookie欺骗
知识点 isset: 检测变量是否设置,并且不是 NULL $_GET:收集来自 method="get" 的表单里的值 intval() 函数用于获取变量的整数值. in_arr ...
- WRMPS经典Cookie欺骗漏洞批量拿下shell-黑客博客
WRMPS(网人信息发布系统)是一款功能非常强大的地方门户系统,用它做门户网站再好不过了.不过最近发现一个很老的漏洞,很多人会问:既然是很老的漏洞了,危险漫步你为什么还拿出来呢?是因为这个漏洞利用率非 ...
- Cookie 欺骗——漏洞
目录 描述 影响 过程 修复建议 通达OA2016网络智能办公系统 描述 通达OA作为中国协同办公(OA)软件普及型的旗舰产品,功能涵盖人圆通讯.行政办公.知识管理.工作流程管理.HR.CRM.BI. ...
- cookie 和session 的区别详解
转自 https://www.cnblogs.com/shiyangxt/archive/2008/10/07/1305506.html 这些都是基础知识,不过有必要做深入了解.先简单介绍一下. 二者 ...
- 禁止COOKIE后对SESSION的影响
一.理解SESSION机制 简单来说:每一个SESSION都有一个唯一的session_id , 默认情况下,session_id存储在客户端(默认COOKIE['PHPSESSID']), 在使用S ...
- session,cookie,sessionStorage,localStorage的区别及应用场景
浏览器的缓存机制提供了可以将用户数据存储在客户端上的方式,可以利用cookie,session等跟服务端进行数据交互. 一.cookie和session cookie和session都是用来跟踪浏览器 ...
- 使用Cookie记录信息
5.1 Cookie的概念和特性 Cookie是设计交互式网页的一项重要技术,它可以将一些简短的数据存储在用户的计算机上,这些存放在用户计算机上的变量数据,称为Cookie.当浏览器向服务器提出网 ...
- Token ,Cookie、Session傻傻分不清楚?
点击上方蓝色"视学算法",选择"设为星标" 作者 | 王菜鸟1993 来源 | cnblogs.com/JamesWang1993/p/8593494.html ...
最新文章
- windows下 Source Monitor代码度量工具的使用
- 将多个csv文件导入到pandas中并串联到一个DataFrame中
- approach for attending ieee conferences
- 2020年创业公司到底过得怎么样?数据分析来为你揭晓
- 值不值得入手_看好三阳的小拉力,但不知道值不值得入手?
- 2018年全国多校算法寒假训练营练习比赛(第一场)G 圆圈
- oracle更新数据还原,oracle误drop/update操作后的数据恢复测试
- 上海市职称英语计算机报名,全国职称计算机考试
- Java学习笔记第七天:极其基础的家庭记账系统
- 三峡大学校赛----十万桃花图(线性基)
- python-web开发(一)知识储备准备
- Java微信支付API文档测试
- [易飞]付款条件-账期之理解
- (开源免费)Python-Gui/PyQt-PySide精美动态登录模板
- dropna()函数
- useful eclipse plugins
- css预处理器(less学习笔记)
- 中文词向量的下载与使用探索 (tensorflow加载词向量)
- awk中处理asc码
- 本地计算机上的OracleOraDB12Home1TNSListener服务启动后停止,某些服务未由其他服务或程序使用时将自动停止