COOKIE 漏洞 ?

如果一个网站就凭借一个返回     Cookie     的     username=xxxx     来判断该程序是否已登陆该网站，那么，假如我知道某人在某一个网站的用户名为     ABC     ，那我起不是强制在发送网页请求时加上     username     =     ABC     的     Cookie     就可以不用密码就使用     ABC     这个名字“登陆”了？      
  这样好像原理上通得过。太不安全了吧？有人测试过行得通的吗？要解决该如何？ 问题点数：20、回复次数：9Top

1 楼nyf1220（我是党员----不过听说最近风声紧，打算换名字）回复于 2005-04-04 17:34:31 得分 3

有可能啊，哈Top

2 楼tgh1981（虚拟等待）回复于 2005-04-04 17:36:42 得分 3

是的,有些网站就是这样了  
  不过,如果用session就不会,因为session     在服务器上Top

3 楼getit911（Windows转Linux中）回复于 2005-04-04 17:55:55 得分 2

server会维持一个会话的Top

4 楼winstarr（星仁）回复于 2005-04-04 18:32:05 得分 3

我是两者混着用。  
  主要功能还是用Session  
  一些次要不重要的都用CookieTop

5 楼GARNETT2183（KingWolves (http://kevin-lu.blogspot.com)）回复于 2005-04-04 18:39:48 得分 3

行得通的,这叫COOKIE期骗,不过还是有办法解决的,比如说加密等或者其它.Top

6 楼oxboy（oxboy）回复于 2005-04-04 23:47:41 得分 0

我对   SESSION   就是有一点不了解:服务器会保留那个变量多长时间?怎么知道客户端已不用了?不可能永远保存那个变量到永远吧?Top

7 楼Heyongfeng（小何）回复于 2005-04-05 14:14:04 得分 3

或许吧Top

8 楼oxboy（oxboy）回复于 2005-04-07 19:53:54 得分 0

?Top

9 楼vpoor（kIngAge）回复于 2005-04-10 13:16:54 得分 3

通常都有加密过的password   cookie，服务器会验证的Top

相关问题

• 服务器
• 网站
• cookie
• abc
• session

• 帖主：oxboy
• nyf1220
• tgh1981
• getit911
• winstarr
• GARNETT2183
• Heyongfeng
• vpoor

• Delphi类图书
• Delphi类源码下载
• Delphi控件下载