看透Cookies欺骗

开篇：润墨网以专业的文秘视角，为您筛选了一篇看透Cookies欺骗范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

Tag:Cookies的分析、欺骗和防御 | 实例、故障排除 | 网络

本文可以学到

>> 看透cookies欺骗 看透 Walnut Cookies 看透“看透” FORTUNE IN COOKIES Ella Bakes Cookies Cookies安全问题探讨 看透得失 看透本质 看透“诱惑” Cookies 可爱的洪水猛兽 真情欺骗 深度“欺骗” 欺骗别人，别欺骗自己 等到风景都看透 看透录取规则 看透真实的你 看透“人生的顺序”　 别将孩子“看透” 不要将孩子“看透” 常见问题解答 当前所在位置：

本文重要知识点

什么是Cookies

Cookies是一个储存于浏览器目录中的小文本，记录你访问一个特定站点的信息，只能被该站点读回。储存在Cookies中的大部分信息是普通的，如：每一次的击键信息和被访站点的地址等。但是许多Web站点使用Cookies来储存针对私人的数据，如：注册口令、用户名、信用卡编号等。

什么是Cookies欺骗

通过修改cookies的内容来得到相应的用户权限进行登录。

Cookies的保存路径

打开IE，点击“工具Internet选项”，点击“设置查看文件”，列出全部的Internet临时文件。点击“Internet地址”排序，就看到了一堆文本文件，其名称形如“cookies:username@hostname”。“hostname”就是网站的域名(例如 )（如图1），“username”就是访问该网站时使用的Windows用户名。

(1)

攻！

案例：

时间：2007年12月11日

地点：国内知名NBA体育论坛

事件：当日上午，NBA正在热播时，论坛管理员小韩发现一个陌生的用户拥有了前台管理权限，并利用权限删除了论坛中很多精华帖，造成严重的人气流失！小韩非常着急。

经过一上午的分析，小韩发现服务器权限并没有丢失，这让他大惑不解，那么论坛的权限是如何丢失的呢？为此，他写邮件联系了信息安全中心。

次日，信息安全中心的工程师刘震在听取了小韩的描述后，检查了论坛服务器，基本确定了黑客是利用了Cookies信息欺骗，获取到论坛的管理权限。

(2)

分析：现在大多论坛都采用了模板建立，论坛的数据库也很少被更改默认路径。所以了解此类论坛的黑客，很容易就能在网络上发现数据库路径，并进行下载。如：NBA论坛的数据库在：。网上常见SQL注入方法及防范措施整理：/article.asp?id=4。

再打开IEcookiesView看看在上的Cookies，得到信息返回（见test代码2）。

可以看出，Cookies中的“password=”（密码）与SQL表中的信息password是一致的。

2.用同样的方式发现论坛管理员小韩的账号admin的信息（见Admin代码1）。

上的Cookies（见Admin代码2）。

用IEcookiesView修改Cookies，将管理员（admin）信息与test信息对调，从而实现了让test用户拥有管理权限，Cookies欺骗成功。

1.建立Session和Cookies双重验证登录，让密码信息的验证登录最大限度减少与数据库的连接，从而防止Cookies欺骗。让Cookies得到时间上的约束，减小利用其进行欺骗的可能性。

小知识

什么是Session呢？一般译成时域。Web中的Session指的就是用户在浏览某个网站时，从进入网站到浏览器关闭所经过的这段时间，也就是用户浏览这个网站所花费的时间。Session实际上是一个特定的时间概念。

2.经常检查网站是否存在数据库路径泄露和SQL注入漏洞，防止黑客发现管理密码。

3.采用架空式管理，不使用ID

(4)

4.利用随机数实现防御Cookies欺骗（现行最流行的防御方式）。具体方法是：

在产生Cookies的论坛页中插入如下代码：

select * from user where username='"&request.cookies("username")&"' and randnum='"&request.cookies("randnum")&"'

PHP可以用：

select * from user where username='$_COOKIE[username]' and randnum='$_COOKIE[randnum]'

小知识

这个防御的思路就是：用户在登录的时候需要验证两个Cookies，一个是用户名，一个是随机数，相当于多了一个“验证码”。用户名可以很轻松地修改，但是随机数就很难猜到了。即使黑客把用户名修改成管理员的用户名，但是因为随机数不符合，也无法登录。

总结

黑客侵犯，无处不在、无孔不入。Cookies是上网时最容易留下痕迹的地方，Cookies欺骗也是黑客喜欢利用的武器。网管员不仅要认识到Cookies对于网络安全的重要性，而且还要学会正确的防范措施，让黑客在你的Cookies处死心！

Refine刻舟求“见”

“天生我才”的业余网管员专栏已经走过了数期，现在小编Refine推出一个“刻舟求‘见’”的小活动，如果您参与了，将有机会获得登刊表扬和获取《电脑爱好者》小编签名杂志的机会！

1.征集网管员跟安全打交道的实例、经验！

2.以前的内容对您有什么帮助；您有什么意见？

3.对以后的内容有什么要求、建议？

以上其中任何一种，只要是您想对这个栏目说的话，都可以发到邮箱.cn，邮件标题请注明“刻舟求‘见’活动”。