13

我们有一个应用程序,除其他外,它检查 cookie 的存在并读取和解密 cookie 的内容。虽然存储在 cookie 中的数据并不敏感,但它已通过 TripleDes 加密进行了加密。今天提出了一个问题,是否可以将保存在单台 PC 上的 cookie 复制到另一台 PC 上,以及 Web 应用程序是否会检测到此复制的 cookie 在另一台机器上的存在,并最终解密它在原始 PC 上的内容。

我的问题是:我们使用标准的 ASP.NET 实现来保存 cookie(即通过 HttpResponse),index.dat 文件是否会阻止将 cookie 从一台机器移植到另一台机器?如果 index.dat 文件也被传输和复制了,或者 index.dat 中是否有一些内部结构将 cookie 与特定机器联系起来怎么办?

4

4 回答 4

16

绝对地。这是跨站点脚本 (XSS) 攻击的一种工作方式:

  1. 我将javascript注入页面
  2. 我等着有人看页面
  3. 我注入的 javascript 向我发送了你的 cookie
  4. 我以你的身份登录并做坏事

在私人测试版期间,这个特殊问题有点 SO 。

于 2009-01-14T21:16:48.307 回答
5

是的,窃取 cookie 是窃取用户会话的常用技术。

一些站点尝试将 cookie 绑定到客户端的 IP,但面对具有多个出站接口或其他非驻留设置的大型公司代理,这会失败。

于 2009-01-14T21:14:05.503 回答
1

即使其他一切正常,如果有人可以物理访问用户的机器,他们也可以将 cookie 复制到另一台机器。

例如,如果需要,只需克隆磁盘!

于 2010-03-03T16:12:21.220 回答
-1

除了其他答案。永远不要相信来自 Web 应用程序用户的任何东西,无论它是否已加密。

这与在客户端和服务器上验证输入的想法有关。不要相信客户端的验证已经完成。

于 2009-01-14T21:18:52.220 回答