4.3瀏覽器Cookie機制
CSRF攻擊
- CSRF攻擊得前提是用戶處於登錄狀態
- 可能會注意到一個情況,有些網站提供了“記住我”或者是“1個月之內免登錄”的
功能 - 毫無疑問,這使用戶方便了許多,在登錄網站時無須再次輸入密碼
- 但當攻擊者進行CSRF攻擊時,用戶也更容易中招。
Cookie得兩種表現形式
本地Cookie(持久性Cookie)
- 持久型 Cookie是服務器端腳本語言向客戶端發送 Cookie時制定了時效
- 也就是 Expire字段,而且會存儲於本地
- 當 Expire所制定的時效過期後, Cookie將失效。
臨時Cookie(Session Cookie)
- Session Cookie則沒有制定 Expire時效
- 是存儲在瀏覽器內存中的,當瀏覽器關閉後, Session cookie也隨之消失。
測試案例
編寫測試代碼cookietest.php
<?php
setcookie("qwe","123.com");
setcookie("asd","456.com",time()+3600);
?>
訪問同域下的頁面時:
無論是 Session Cookie
還是本地 Cookie
Cookie將會一起被髮送
案例分析(上一篇CSRF案例)
第一步 登錄hello賬號
第二步 查看cookie信息
第三步 訪問hack鏈接,查看網絡狀態
摘抄
無論你多聰明、多能幹、條件有多好,
如果人品不過關,
那麼談什麼都沒有用。
做人,
永遠都是做事的大前提。