2017-02-23 139 views
0

我想運行每個人的東西。我正在嘗試升級並在網站上進行大修,並且在用戶登錄時我注意到了一些情況。幾個Cookie設置爲暱稱和用戶編號。該網站是一個在線商店,我注意到如果我更改cookie值,我可以獲得其他帳戶的商品列表。這隻有當我破解cookie值並通過在.NET中創建一個自定義程序來更改它時,我才能更改所有標題信息。對我來說,這構成了一個潛在的大規模安全問題,但我不確定我是否正在過度偏執,或者如果這是一個真正的威脅。如果它是真正的威脅,我怎麼能確定用戶實際上是用戶,並且這些cookie不會被改變。到目前爲止,我沒有證據表明這發生在這個網站之前。我記得有關雅虎的消息。並且他們被cookie僞造黑客攻擊。 (我認爲就是這樣)。我不知道我是否很好地解釋自己,或者如果有另一個地方可以問這個問題。如果有人可以指點我的資源或其他東西,將不勝感激!HTML Cookie安全

編輯(1):應該注意的是,cookie值以純文本形式存儲。這是一個壞的舉動?我應該使用這個答案來提高安全性嗎? Cookie Security

編輯(2):移動到security.stackexchange

+0

應該在http://webmasters.stackexchange.com上。 – TricksfortheWeb

+0

好的。謝謝。然後,我會把它移到那裏。只要等待40分鐘,我就會移動它。我會稍微留下來,希望能夠多一點見解。 – jkw4703

回答

0

我相信肯定it's安全問題。 有不同的方法可以解決這個問題。

爲了給你一個想法,我們通常做的是當用戶登錄到應用程序時,我們返回一個SessionID,您可以保存在Cookie或任何存儲中。

SessionID可能是一個GUID,它將與最終到期的特定用戶有關。

發生登錄時會在後端自動生成SessionID,唯一獲取有效憑證的方法是提供有效的憑據。

您將可以像現在一樣更改cookie值,但考慮到可以在多次失敗請求嘗試後自動阻止IP地址,幾乎不可能猜出有效的GUID。