我们有一个应用程序,除其他外,检查cookie的存在并读取和解密cookie的内容.虽然存储在cookie中的数据不敏感,但它已通过TripleDes加密进行加密.今天提出的问题是,保存在单个PC上的cookie是否可以复制到另一台PC上,以及Web应用程序是否会在另一台机器上检测到这个复制的cookie的存在,并最终解密它在原始PC上的内容.
我的问题是:我们使用标准的ASP.NET实现来保存cookie(即通过HttpResponse),index.dat文件是否阻止cookie从一台机器移植到另一台机器?如果index.dat文件也被传输和复制,或者index.dat中是否存在将cookie绑定到特定机器的内部结构,该怎么办?
绝对.这是跨站点脚本(XSS)攻击的一种工作方式:
我将javascript注入页面
我等着有人看看这个页面
我注入的javascript向我发送了你的cookie
我像你一样登录并做坏事
这种特殊的问题位,所以在内测期间.
是的,窃取Cookie是窃取用户会话的一种常用技术。
某些站点尝试将cookie绑定到客户端的IP,但这在具有多个出站接口或其他非本地设置的大型公司代理的情况下失败。
京公网安备 11010802040832号 | 京ICP备19059560号-6 