如何伪造cookie
问题是跨域提交一个表单,表单中有个token是通过jsessionid生成的,提交form时,会验证当前cookie中的jsessionid与生成token的jsessionid是否一致,需求是跨域提交一个表单
1、表单中有个token,是通过httpwebrequest访问取得的token,并返回了cookie中的jsessionid
2、必须使用form提交,但如何伪造这个跨域的cookie赋于我取得token时得到的jsessionid,来告诉对方站点,已经有指定的jsessionid了,不需要生成新的jsessionid来判断之前生成token时的jsessionid是否一致。
请高手们指导指导。谢谢! Cookie HttpWebRequest Cookie伪造 跨域cookie --------------------编程问答--------------------
木有人么
--------------------编程问答--------------------
google 搜索 cookie欺骗 改一下本地的hots文件。 --------------------编程问答-------------------- 可以在不改hosts的情况下操作么?或者别的方式? --------------------编程问答-------------------- 主流的web框架都有防范跨站攻击(包括伪造cookie)的机制,你的想法根本就是不可行的。除非web应用故意留下这样的漏洞。 --------------------编程问答--------------------
有看到别人做成功的哦,看来我找的路找错了。 --------------------编程问答-------------------- 其实也不算攻击,只是另外写一个程序来完成对方站点上的几个操作步骤。只是对方的这几个操作步骤都有验证cookie中的jsessionid是否一致,头痛。
--------------------编程问答--------------------
写程序模仿登陆,应该是这种模式的。
--------------------编程问答--------------------
那是服务器有漏洞。你可以找出“有人”搞哪个网站搞成功了,他能成功,我也能成功。 --------------------编程问答--------------------
改了hosts,然后httpcookie的domain生效,就成功了。
不知道还有没有其它欺骗的方式,需要怎么实现么?劳请各位再指点指点了。谢谢 --------------------编程问答--------------------
你能直接控制客户端的话,方法多得是,浏览器插件就能改cookie --------------------编程问答--------------------
问题是不能啊
--------------------编程问答--------------------
我的意思是看一下jsessionid 的介绍http://www.blogjava.net/zhaozhenlin1224/archive/2010/02/03/311807.html
就知道怎么做了吧?
http://www.xxx.com/xxx_app;jsessionid=xxxxxxxxxx?a=x&b=x..。jessionid通过这样的方式来从客户端传递到服务器端 --------------------编程问答-------------------- 你已经通过 httpwebrequest 获取了SessionID ,
你可以通过httpwebrequest 来写一个HTTP代理,把sessionid加入到URL参数中,代理获取URL写入到请求中 这样就离开了浏览器 跨域的也就解决了 也避免了用户要修改HOST
你开发的form(url?sessionid=xx) ->你开发的代理网址(获取SID 放入到请求的COOKIE中)-》目标网站 --------------------编程问答-------------------- 同意! --------------------编程问答-------------------- 真是有各种各样的需要 --------------------编程问答--------------------
不错,这种方法可行的,我试了,把SessionID返回的前台,然后在网站后面加上这个参数,直接open打开就可以了
补充:.NET技术 , ASP.NET
