asp安全 Cookies 欺骗漏洞的防范

作者:愿望 来源:编程中国 时间:2007-11-02 12:23:00 

花了半个多小时的时间输入,打得手都疼了,希望能对大家有所帮助。

*/ --------------------------------------------------------------------------------------
*/ 出自: 编程中国  http://www.bc-cn.net
*/ 作者: 愿望    E-mail:wishstudio@gmail.com    
*/ 时间: 2007-8-5  编程论坛首发
*/ 声明: 尊重作者劳动,转载请保留本段文字
*/ --------------------------------------------------------------------------------------

一、攻击原理

Cookies 欺骗主要利用当前网络上一些用户管理系统将用户登录信息储存在 Cookies 中这一不安全的做法进行攻击,其攻击方法相对于 SQL 注入漏洞等漏洞来说相对要“困难”一些,但还是很“傻瓜”。

我们知道,一般的基于 Cookies 的用户系统至少会在 Cookies 中储存两个变量:username 和 userlevel,其中 username 为用户名,而 userlevel 为用户的等级。当我们的浏览器访问 ASP 页面时,它会传出类似

GET /.../file.asp HTTP 1.0
...
Cookies: username=user&userlevel=1
...

的数据包,那么,我们只要知道了管理员的 username 和 userlevel 值(假设分别为 admin 和 5),便可以通过传输

GET /.../file.asp HTTP 1.0
...
Cookies: username=admin&userlevel=5
...

来获取管理员权限。很简单是不是?然而,在这个漏洞被发现之前,几乎所有的用户管理系统都依赖于 Cookies。

二、安全地储存用户信息

既然 Cookies 是不安全的,而我们又必须把用户登录信息存储下来,那么应该存储在什么地方呢?我们注意到,在 ASP 中,除了 Cookies 外,还有 Session 可以储存信息。Session 是储存在服务器上的,不是客户端随随便便就能够更改的,所以具有极高的安全性。这样,大家就可以把所有 Cookies 的代码均换作 session 了。

标签:Cookies,漏洞
0
投稿

猜你喜欢

  • 如何选择一款适合你的虚拟主机

    2007-12-22 16:53:00
  • 免费开源IIS过滤器

    2009-08-09 15:35:00
  • Cmseasy企业版免费体验活动开始

    2009-10-27 17:25:00
  • 保证排名的网站优化策略

    2009-02-20 09:39:00
  • VMware Workstation虚拟机安装操作方法

    2021-04-17 07:07:56
  • 详解Docker Compose配置文件参数

    2023-06-26 12:48:24
  • SEO 给你的html网页减减肥

    2008-10-27 17:17:00
  • 51wan“寻找女一号”总决赛 全国佳丽14日终极PK

    2009-11-12 11:01:00
  • DISCUZ架构:AJAX之ajax.js 函数之一

    2009-02-14 08:29:00
  • Bo-Blog完美集成SWFUpload

    2011-11-27 09:37:22
  • 轻松配置网站Robots.txt文件

    2009-01-15 09:12:00
  • VMware Workstation如何创建加密虚拟机

    2021-10-13 07:18:44
  • 华人首富李嘉诚投资互联网的故事

    2008-05-28 12:12:00
  • 网摘推广网站提高网页外链资源

    2009-03-11 10:49:00
  • Google Adsense提高收入核心技巧揭秘

    2009-01-07 23:20:00
  • SSL 加密被破解,千万站点面临危险

    2011-09-22 20:26:43
  • 中文站、英文站哪个是我的未来

    2008-10-31 13:02:00
  • Godaddy Economy windows主机配置教程[一]

    2010-04-20 13:15:00
  • 谷歌中文官方博客 简单介绍什么是导入链接

    2008-12-04 14:52:00
  • IIS配置SMTP服务器

    2010-03-13 18:49:00
  • asp之家 网站运营 m.aspxhome.com