|
-
首頁 > 知識庫 >
Cookie欺騙
-
Cookie欺騙
瀏覽網頁時,cookie可能由server端傳送給瀏覽器然後存在local端的PC上,如果cookie在時效內,瀏覽器在瀏覽相同網站時,即會傳送原先所儲存的cookie給該網站。
如果某網站在使用者輸入帳號/密碼通過認証後,傳一個cookie給瀏覽器,cookie如下
www.abc.com.tw TRUE ID=abcd
因為有cookie,所以當我們把瀏覽器關掉,再重新連上相的網站時,網站程式發現有cookie就視作已認證成功,便不要求再度認證。
如果網頁程式是透過cookie上的ID欄位來判斷使用者的身份,那麼有心人士若把ID=abcd改為admin,或許有可能變成管理者身份。
|