Cookie介绍

cookie:
(小甜饼,外国程序猿还是很有情调的)
服务器存储到客户机器上的信息

作用:
1.用于记录用户历史登录网站的情况(自动识别)
2.网站可以利用cookies跟踪统计用户访问该网站的习惯,比如什么时间访问,访问了哪些页面,在每个网页的停留时间等(利用cookie跟踪用户行为)
(利用这些信息,一方面是可以为用户提供个性化的服务)
3.记录用户登录信息(很容易泄密)

生存周期:
1.Cookie可以保持登录信息到用户下次与服务器的会话
2.Cookie在生成时就会被指定一个Expire值,这就是Cookie的生存周期,在这个周期内Cookie有效,超出周期Cookie就会被清除。
有些页面将Cookie的生存周期设置为“0”或负值,这样在关闭浏览器时,就马上清除Cookie,不会记录用户信息

局域网内获取cookie

我的攻击思路是,在同一局域网下利用arp欺骗,我们作为一个中间人获取对方的流量,从中分离出来其中的cookie信息,从而达到cookie重放。

arp欺骗

需要使用到kali上的工具: arpspoof
安装步骤:apt-get install dsniff ssldump

使用:

echo 1 >> /proc/sys/net/ipv4/ip_forwardarpspoof   -i   网卡   -t    目标IP    网关

wireshark抓包

arp欺骗启动后,对方所有的数据包都会经过我这台kali机,wireshark就可以抓包了,抓取的数据包保存为cookie.pcap

ferret -r cookie.pcap(你抓取的数据包) //这一步是为了从中获取其中的cookie信息
从中提取出来一个hamster.txt文件

Hamster通过对网络上流动数据的会话监听,从而抓取可见的会话Cookie,然后再将这些监听到的Cookie导入到特定浏览器GUI环境中,攻击者就可以轻松的还原掉当前被劫持会话内容。

1

其实,Hamster之所以可以如此表现,是因为它使用了Ferret来进行会话Cookie抓取工作。(如下图)

Cookie重放攻击相关推荐

  1. [转载]保护 ASP.NET 应用程序的安全

    查看全部的安全性指导主题 Microsoft Corporation 本单元概要 保护 ASP.NET Web 应用程序依赖于完全受到保护的网络.主机和平台基础结构.如果果真如此,攻击者将试图利用 W ...

  2. 保护 ASP.NET 应用程序的安全

    本单元概要 保护 ASP.NET Web 应用程序依赖于完全受到保护的网络.主机和平台基础结构.如果果真如此,攻击者将试图利用 Web 应用程序和 Web 服务(它们通常侦听端口 80)中的漏洞.如果 ...

  3. 书籍推荐——Python绝技:运用Python成为顶级黑客

    Python绝技:运用Python成为顶级黑客 本文推荐一本关于信息安全的图书:<Python绝技:运用Python成为顶级黑客>. 当您听到黑客这个词的时候是不是有点激动呢,尤其是顶级黑 ...

  4. 为什么黑客用python-《Python绝技》:运用Python成为顶级黑客

    点击"阅读原文"可以直接购买该书籍. 本月月考的奖品是<Python绝技>两本!敬请期待吧!Xcon&神话行动创始人呆神.Keenteam陈良.鹰总cnhawk ...

  5. 用python成为顶级黑客-python绝技:运用python成为顶级黑客 PDF 超清中文版

    给大家带来的一篇关于python相关的电子书资源,介绍了关于python绝技.python黑客方面的内容,本书是由电子工业出版社出版,格式为PDF,资源大小42 MB,TJO编写,目前豆瓣.亚马逊.当 ...

  6. STRIDE 威胁建模:面向安全应用程序开发的威胁分析框架

    一.什么是 STRIDE 威胁建模? STRIDE 威胁模型由Microsoft安全研究人员于 1999 年创建,是一种以开发人员为中心的威胁建模方法,通过此方法可识别可能影响应用程序的威胁.攻击.漏 ...

  7. 【原创】Cookie应用(二)

    Cookie的作用很大,在很多技术方案中都有应用.它也是Forms身份认证模式所使用的一门技术点. 今天我就说一说它在Forms身份认证模式中都起到什么作用. (一)理论知识 ASP.NET 使用身份 ...

  8. 还分不清 Cookie、Session、Token、JWT?

    点击上方蓝色"方志朋",选择"设为星标" 回复"666"获取独家整理的学习资料! 转自:掘金   作者:秋天不落叶 juejin.im/po ...

  9. Token ,Cookie、Session傻傻分不清楚?

    点击上方蓝色"视学算法",选择"设为星标" 作者 | 王菜鸟1993 来源 | cnblogs.com/JamesWang1993/p/8593494.html ...

最新文章

  1. Android中ExpandableListView的使用
  2. WIN7系统中连接点(Junction Points)
  3. 2020-05-16 为什么PID中的P或者说状态反馈中的K不能无限增大
  4. oracle 取当天日期减一天 应该如何写
  5. C语言学习之从键盘输入一个小于1000的正数,要求输出它的平方根(如平方根不是整数,则输出其整数部分)
  6. 在 IntelliJ IDEA 中误添加自定义的 JavaDoc 标签,如何删除
  7. 复数可以阐释的如此优雅
  8. mysql修改binlog 位置_查看mysql 的binlog日志存放的位置(转)
  9. React Redux: 从文档看源码 - Components篇
  10. Eclipse中直接执行sql语句(图文说明)
  11. MTK平台TP驱动框架分析
  12. 读书笔记《Unix编程艺术》一
  13. 软件测试用例朋友圈发表功能,微信发朋友圈测试用例
  14. IntelliJ IDEA2019.1.2汉化包
  15. wmp 11安装方法
  16. 7-4 人民币兑换 (10 分)C语言
  17. nao机器人刷机记录
  18. 基于灰度投影法的图片偏移测量
  19. 【附源码】计算机毕业设计java综合众筹网站设计与实现
  20. matlab shogun,在Windows下为Matlab编译Shogun工具箱

热门文章

  1. springMVC的welcome-file指向Controller时报404
  2. 爬虫数据分析【旅游篇】
  3. Django项目使用gunicorn
  4. 502粘到手上变硬了怎么办_衣服粘上502胶水变很硬怎么办
  5. PTA 乙级 【1008】 数组元素循环右移问题
  6. sr860服务器系统,联想 Lenovo ThinkSystem SR860 4U机架式服务器
  7. 从头开始实现YOLOV3
  8. win10 开机慢优化方法
  9. 群体智能优化算法之萤火虫算法(Firefly Algorithm,FA)
  10. IBM实习日记——5.22