我希望每个人都能运行一些东西。我尝试升级并在网站上进行重大改革,当用户登录时我发现了一些东西。有几个cookie被设置为昵称和用户数。该网站是一个在线商店,我注意到,如果我更改cookie值,我可以获得其他帐户的商品列表。这只是在我破解cookie值并通过在.NET中创建一个允许我更改所有头信息的自定义程序来更改它。对我来说,这对安全问题提出了潜在的巨大问题,但我不确定我是否只是过度偏执或者这是一个真正的威胁。如果它是真正的威胁,我怎么能确定用户实际上是用户并且这些cookie没有被更改。到目前为止,我没有证据表明此事已发生在本网站之前。我记得读到雅虎!他们被曲奇锻造了。 (我认为那是什么)。我不确定我是否能很好地解释自己,或者是否还有其他地方可以提出这个问题。如果有人能指出我的资源或其他东西,我会非常感激!
编辑(1):应该注意,cookie值以纯文本形式存储。这是一个不好的举动?我应该使用这个答案来提高安全性吗? Cookie Security
编辑(2):已移至security.stackexchange
答案 0 :(得分:0)
我认为这绝对是一个安全问题。 有不同的方法来解决这个问题。
为了给您一个想法,我们通常做的是当用户登录应用程序时,我们返回一个SessionID,您可以将其保存在Cookie或任何存储中。
SessionID可能是一个GUID,它最终会与一个过期的特定用户相关。
当登录发生时,后端会自动生成SessionID,获得有效凭据的唯一方法是提供有效的凭据。
您将能够像现在一样更改cookie值,但考虑到许多失败的请求尝试后您可以自动阻止IP地址,几乎不可能猜出有效的GUID。