WEB中的cookie

首先来一篇好文章,刚好看到的:

沉默中的狂怒 —— Cookie 大喷发----------------       http://www.cnblogs.com/index-html/p/mitm-cookie-sniffer.html#3050493

  我就重复一遍啦:

  在chrome或者firefox下登陆下163的邮箱;

  在控制台执行js:

new Image().src = "http://push.webmail.mail.163.com";

  

  在控制台可以看到发送的的请求的RequestHeader的cookie;

  把这段cookie保存下来拉:

  打开另一个浏览器,执行这些代码;

var cookie = ‘_octo=GH1.1.1197126241.1409639170; logged_in=yes; dotcom_user=user; user_session=T0fclMsdfsdfv0eTN3-CsYUm2OQVnkMsdfUZLn8ZXJLwE7BTIwMEAInT9fptAn; tz=Asia%2FShanghai; _ga=GA1.2.68662887.1409639170; _gat=1; _gh_sess=eyJzZXNzaW9uX2lkIjoiYjI5ZGFlZGQwNGIwN2U5ZjAzZmUxZTIyYjY3MjA1NDYiLCJjb250ZXh0IjoiLyIsInJlZmVycmFsX2NvZGUiOiJodHRwczovL2dpdGh1Yi5jb20vIn0%3D--d4f09b50437a537b45adc451dc8319ac36aaf5fa‘; //把你获取的cookie放到cookie这个变量去

cookie.split(";").forEach(function(e,i) {  //设置cookie,过期时间为一天;
    document.cookie = e+";expired="+new Date(new Date().getTime() + 1000*60*60*24).toGMTString();
});

  我们现在再打开mail.163.com;发现登陆进去了;

  cookie是用来用户保存在本地的信息;每一个域名或者对应的子域名会保存这些消息,对保存有效期和大小都有限制,后台分配的对应cookie都是唯一的,所以只要cookie匹配,就知道是哪一个用户登陆的。

  所以只要用户了用户的cookie就相当于有了进入你邮箱或者支付宝或者等等等等的后门;soGood;

  也就是说只要在网页中有任何可以执行JS的机会都可以利用

    new Image().src = "http://push.webmail.mail.163.com;

    new Image().src = "http://www.baidu.com";

  遍历常见的比较大的网站,然后把劫持的cookie发送到后台, 我们就可以进行匿名登陆了. so Nice;

  算是复习一遍吧;

时间: 2024-10-11 21:10:43

WEB中的cookie的相关文章

正确理解web交互中的cookie与session

cookie存储在客户端的纯文本文件 用户请求服务器脚本 脚本设置cookie内容 并 通过http-response发送cookie内容到客户端并保存在客户端本地 客户端再次发送http请求的时候会将本地的cookie内容添加到http请求头发送给服务器,服务器端脚本可以调用cookie内容 流程如图 cookie.php 脚本 客户端第一次访问(发送http请求)脚本设置cookie(setcookie)到客户端 并不会显示cookie内容 此时客户端的cookie文件已经生成 cookie

Javascript中关于cookie的那些事儿

Javascript-cookie 什么是cookie? 指某些网站为了辨别用户身份.进行session跟踪而储存在用户本地终端上的数据(通常经过加密).简单点来说就是:浏览器缓存. cookie由什么组成? Cookie的形式: Cookie是由name=value形式成对存在的,Cookie字符串必须以分号作为结束符,Cookie除了name属性之外还存在其他4个相关属性. 设置Cookie的语法如下: set-Cookie:name=value;[expires=date];[path=d

【转】asp.net中的cookie使用介绍

来源:http://www.jb51.net/article/30398.htm 一.cookie导读,理解什么是cookie 1.什么是cookie:cookie是一种能够让网站服务器把少量数据(4kb左右)存储到客户端的硬盘或内存.并且读可以取出来的一种技术. 2.当你浏览某网站时,由web服务器放置于你硬盘上的一个非常小的文本文件,它可以记录你的用户id.浏览过的网页或者停留的时间等网站想要你保存的信息.当你再次通过浏览器访问该网站时,浏览器会自动将属于该网站的cookie发送到服务器去,

C#中的cookie编程

Cookie就是所谓的" 小甜饼" ,他最早出现是在Netscape Navigator 2.0中.Cookie其实就是由Web服务器创建的.将信息存储在计算机上的文件.那么为什么Web服务器要在客户机上面创建如此文件?这是因为当客户机发送一个请求到WEB服务器时(譬如准备浏览页面时),无论此客户机是否是第一次来访,服务器都会把它当作第一次来对待,WEB服务器所做的工作只是简单的进行响应,然后就关闭与该用户的连接.这样处理过程所带来的缺点时显而易见的.自从网景公司开发出Cookie以后

c#.net与vb.net中读写Cookie的方法!

Cookie (HttpCookie的实例)提供了一种在 Web 应用程序中存储用户特定信息的方法.例如,当用户访问您的站点时,您可以使用 Cookie 存储用户首选项或其他信息.当该用户再次访问您的网站时,应用程序便可以检索以前存储的信息. C#.net部分 创建Cookie方法 (1)Response.Cookies["userName"].Value = “admin";Response.Cookies[“userName”].Expires = DateTime.No

android中如何处理cookie

Managing Cookies HttpClient provides cookie management features that can be particularly useful to test the way an application handles cookies. Listing 9-3 shows an example where you use HttpClient to add a cookie to a request and also to list detail

asp.net中的cookie

一.cookie导读,理解什么是cookie 1.什么是cookie:cookie是一种能够让网站服务器把少量数据(4kb左右)存储到客户端的硬盘或内存.并且读可以取出来的一种技术. 2.当你浏览某网站时,由web服务器放置于你硬盘上的一个非常小的文本文件,它可以记录你的用户id.浏览过的网页或者停留的时间等网站想要你保存的信息.当你再次通过浏览器访问该网站时,浏览器会自动将属于该网站的cookie发送到服务器去,服务器通过读取cookie,得知你的相关信息,就可以做出相应的动作.比如,显示欢迎

Selenium2学习-017-WebUI自动化实战实例-015-获取浏览器中的 cookie 信息

日常我们在使用浏览器时,尤其是登录 WEB 应用时,我们的一些信息其实是保存在了浏览器的 cookie 信息中.我们可以通过浏览器自带的开发工具,进行查看相应的 cookie 信息,例如在火狐.chrome 中均可通过 F12 打开开发者工具打开.以下截图为在 chrome 中打开易迅网时的 cookie 信息: 若是小主您登录了相应的网页应用,cookie 中还会含有您的一些用户信息内容.那么这些 cookie 信息在我们日常 WebUI 自动化脚本的编写过程中有什么用途呢 ? 可以作为网页打

JavaScript中document.cookie

“某些 Web 站点在您的硬盘上用很小的文本文件存储了一些信息,这些文件就称为 Cookie.”—— MSIE 帮助.一般来说,Cookies 是 CGI 或类似,比 HTML 高级的文件.程序等创建的,但是 javascript 也提供了对 Cookies 的很全面的访问权利. 每个 Cookie 都是这样的:<cookie名>=<值> <cookie名>的限制与 javascript 的命名限制大同小异,少了“不能用 javascript 关键字”,多了“只能用可以