web安全问题-cookie

web安全问题 cookie

1.cookies只能设置过期 不能删除

<script>
now.toGMTString() => 事件可以用来设置cookie
document.cookie("aaa=1,expires=Sun, 07 May 2017 xxxxx")
</script>

2.Cookies-登录用户凭证

  • 用户ID
  • 用户ID + 签名

3.xss和cookies

  • xss可能偷取cookies
  • http-only的cookie不会被偷

4.cookies和csrf关系

  • csrf利用用户cookie
  • 攻击站点无法读写Cookies
  • 最好阻止第三方使用Cookies samesite

5.cookies安全案例

  • cms系统
  • cms使用username作为唯一用户标识
  • cms文章作者暴露了username
  • 可以使用任意username登录后台
  • 某论坛使用asp bbs
  • 使用用户ID作为用户标识
  • 可伪造任何登录

7.cookies安全策略

  • 签名防止篡改
  • 私有变换(加密)
  • http-only (防止xss)
  • secure
上一篇:10 个强大的开源 Web 流量分析工具(转帖)


下一篇:maven相关