15 常见漏洞 cookie session绕过

cookie绕过和session绕过其实是两个东西

但是由于session一般是存储在cookie里的所以我想放到一起来总结了

 

cookie是一种存储于客户端的用于与服务器端确认状态的方案

session则是一种存储于服务器端的用于与服务器端确认状态的方案

 

cookie分为会话cookie与持久cookie

会话cookie仅仅存在于当前会话，在你退出浏览器是就会销毁cookie

持久cookie则会一直存在电脑里，下次登陆时还会使用

 

月师傅这节课的cookie绕过非常的简单以及基础

几乎很少有网站出现这样的漏洞了

后端对cookie的验证仅仅是验证它存不存在

若存在则登录成功

则按道理cookie有值就可以绕过验证

 

而session绕过也非常基础

由于session的值被写入到网站目录

所以恶意用户能访问到其他已经登录用户的session值