3
我的一位朋友進行了面試,並被問到幾個多選題問題。其中一個問題是其中哪些可以在客戶端操縱
其中哪些可以在客戶端進行操作: cookie數據,會話數據,遠程IP,用戶代理
我會說,會議是唯一一個你不能mainpulate(我意思是說,你可以劫持它等等,但是你不能像問題所示那樣改變它的數據)
你覺得怎麼樣?
A
回答
2
Cookie數據和用戶代理可以完全由客戶端提供,即可以被操縱。
IP地址可能被欺騙(具有本地訪問權限和/或技術和組織訣竅),但它始終處於有效格式,即從不是任意字符串。
會話數據由服務器本身管理,無法操作。但是,攻擊者可能會與其他會話關聯,例如通過捕獲其他用戶的Cookie。
3
cookie數據和用戶代理可明顯隨意被操縱。
就像你說的會話數據本身不能被操縱,你只能劫持會話,竊取用於在用戶與會話相關聯,餅乾......
遠程IP是一個艱難的呼叫。由於http基於TCP,因此不能僞造任意遠程IP。您可以使用代理來隱藏您的真實IP。但要僞造另一個IP,您需要能夠接收發往該IP的數據包。而且通常只有當你是IP路由的一部分時才能做到這一點。相關的老問題Application Security Concerns: How easy is it to fake an IP-Address?
+0
還可以操縱的X轉發,對於頭在HTTP請求。你基本上可以使用任何IP,並且一些腳本/網站會認爲這實際上是客戶的IP。這樣一來,你實際上可以說你是本地主機(127.0.0.1),也因爲該IP地址的真實世是從互聯網上一個有效的地址,甚至iptables的將無法阻止請求。 (即永遠不會信任X-Forwarded-For)。 – Matt3o12
+0
@ Matt3o12在我答案,我說的是TCP/IP級別的遠程IP。如果它已被可信(反向)代理添加,則應該信任「X-Forwarded-For」。這就是爲什麼檢查標題是否存在的代碼,如果不存在則默認爲較低級別的IP被設計破壞。要麼你有一個可信的代理,要麼你沒有。 – CodesInChaos
+0
@CodeslnChaso我只知道只有那個試圖阻止使用代理的「騙子」的網站:) – Matt3o12
相關問題
- 1. 會話可以由用戶客戶端操縱嗎?
- 2. 在客戶端操縱樹 - 請告知
- 3. 如何操縱客戶端連接
- 4. 在Clojurescript中是否有在客戶端操縱CSS的lib?
- 5. 客戶端可以運行Silverlight的哪些問題?
- 6. 哪些TCP協議可用於客戶端到客戶端的通信?
- 7. Django模板 - 服務器端django標籤的客戶端操縱
- 8. 哪些工具可以很好地設計ASP.NET用戶界面以將其展示給客戶端?
- 9. Mobli API有哪些可用的客戶端庫?
- 10. 我在哪裏可以得到我的BrainTree客戶端令牌?
- 11. 我在哪裏可以得到twilio客戶端sdk版本1.2
- 12. 我在哪裏可以得到一個PayPal客戶端ID
- 13. silverlight在客戶端上可以做些什麼
- 14. 如何操縱來自Netty服務器/客戶端的消息
- 15. 客戶端驗證不適用於dom操縱的元素?
- 16. 如何查看哪些客戶端在我的apache中請求?
- 17. 您可以推薦哪些適用於Python的Solr客戶端庫?爲什麼?
- 18. 開發人員可以自由擴展哪些開源SIP客戶端(或庫)?
- 19. 哪些調用可以用於Facebook應用的客戶端令牌?
- 20. lua哪些操作符可以超載
- 21. 我在哪裏可以在我的WCF客戶端中指定代理憑證?
- 22. 是否可以使用Ajax來操作客戶端文件?
- 23. 可可中的客戶端到客戶端的消息傳遞?
- 24. Git - 從服務器端鉤子,是否有可能控制客戶端可以獲取哪些分支
- 25. 在Wordpress博客中操縱css
- 26. 哪裏可以下載gdata目標C客戶端
- 27. 哪種技術可以選擇創建Web聊天客戶端?
- 28. Adobe Flex 4.5 - 單一網絡客戶端和移動客戶端 - 可能有哪些?
- 29. 如何找出GWT(客戶端)中缺少哪些Java類?
- 30. 哪些值在Sql Server客戶端靜態進行比較
cookie數據,會話cookie,IP,用戶代理 – Ibu
事實是,任何事情都有可能,如果你足夠努力來操作。但是,99%的時間只是cookie數據和用戶代理。 –