| 什么是Cookies(三) |
| 作者/cherryqi 时间/2006-6-23 13:00:00 类别/测试技术 查看/ |
 发表评论 以论坛方式查看 |
| 标签:测试技术 |
|
Cookies欺骗 通过分析Cookie的格式,我们知道,最后两项中分别是它的URL路径和域名,服务器对Cookie的识别靠的就是这两个参数。正常情况下,我们要浏览一个网站时输入的URL便是它的域名,需要经过域名管理系统DNS将其转化为IP地址后进行连接。若能在DNS上进行一些设置,把目标域名的IP地址对应到其它站点上,我们便可以非法访问目标站点的Cookie了。 要进行Cookies欺骗,其实很简单。比如在Win9X下的安装目录下,有一名为hosts.sam的文件,以文本方式打开后会看到这样的格式: 127.0.0.1 localhost 经过设置,便可以实现域名解析的本地化,只需将IP和域名依上面的格式添加到文件中并另存为hosts即可。hosts文件实际上可以看成一个本机的DNS系统,它可以负责把域名解释成IP地址,它的优先权比DNS服务器要高,它的具体实现是TCP/IP协议中的一部分。 比如我们要读取的目标站点 www.abc.com 所生成的Cookies信息,可以借助www.def.com(自己的站点)。在www.def.com 存放用来进行欺骗所需的文件,通过它读取和修改对方的Cookie。 步骤一 ping出www.def.com 的IP地址: ping www.def.com Reply from 192.168.0.1: bytes=32 time=20ms TTL=244 然后修改hosts.sam文件如下: 192.168.0.1 www.abc.com 并保存为hosts文件。 步骤二 读取Cookies信息: 将用来读取Cookie的页面传至www.def.com ,此时连上www.abc.com,由于我们进行本机DNS域名解析的修改,这时网络连接的并不是www.abc.com,而是www.def.com 。 这样www.abc.com设在本地的Cookie便可被读出。 步骤三 同样道理,你可对读出的数据进行修改,并可将修改后的信息写入Cookie中。修改完毕后,删掉hosts文件,再重新进入www.abc.com,此时所使用的Cookies数据就是你制定的数据。 总之,在某种程度上虽然可以实现Cookies的欺骗,给网络应用带来不安全的因素,但Cookies文件本身并不会造成用户隐私的泄露,也不会给黑客提供木马程序的载体,只要合理使用,它们会给网站管理员进行网站的维护和管理以及广大用户的使用都带来便利。 Cookies集合具有以下几种属性: 1.Expires属性:此属性用来给Cookies设置一个期限,在期限内只要打开网页就可以调用被保存的Cookies,如果过了此期限Cookies就自动被删除。如: 设定Cookies的有效期到2004年4月1日,到时将自动删除。如果一个Cookies没有设定有效期,则其生命周期从打开浏览器开始,到关闭浏览器结束,每次运行后生命周期将结束,下次运行将重新开始。 2.Domain属性:这个属性定义了Cookies传送数据的唯一性。若只将某Cookies传送给搜狐主页时,则可使用如下代码: 3.Path属性:定义了Cookies只发给指定的路径请求,如果Path属性没有被设置,则使用应用软件的缺省路径。 4.Srcure属性:指定Cookies能否被用户读取。 5.Haskeys属性:如果所请求的Cookies是一个具有多个键值的Cookies字典,则返回True,它是一个只读属性。 |
| 查看该用户更多文章>> |