个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
30
4
我正在尝试编写一个程序来验证从机器发出的所有 cookie 实际上都转到了它们来自的域。这是检测基于 cookie 的恶意攻击(例如 XSS)的更大安全项目的一部分。这个项目的主要障碍实际上是检测传出的 cookie。有人能给我指出正确的方向来监控 cookie 信息的传出 HTTP 流量吗?关于该项目的其他信息:这是一个用 C 和多种脚本语言编写的 Windows 应用程序。非常感谢您的帮助。
最佳答案
您可以使用 Firefox 附加组件读取浏览器正在使用的所有 cookie,浏览器知道它有哪些 cookie 以及拥有它们的域。然后可以修改Tamper-Data要嗅探所有传出的 http 请求并查找 cookie 值,您还可以在传输之前删除请求或修改它。
这将永远阻止攻击者。攻击者在传输之前混淆/编码/加密 cookie 值是微不足道的。
HttpOnlyCookies 是解决此问题的更好(但不完整)的解决方案。如果设置了这个header元素,并且浏览器支持,那么javascript将无法访问document.cookie。但是攻击者可以使用 XmlHttpRequest 伪造针对系统的请求,从而“骑”在经过身份验证的 session 上。
您应该修补您的 XSS,防止 XSRF,为整个 session 使用 https 并启用 HttpOnlyCookies。我建议您阅读 A3:The Owasp Top 10 for 2010. 中的“失效的身份验证和 session 管理”
关于c - 我如何监控 cookie 是否被发送到其来源域以外的域?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2587212/
30
4
0
我已经坚持了好几天了……很抱歉遇到这样的问题,但是我只是F#本身的初学者。由于关于类型提供程序的讨论很多,所以我决定建立一个类型提供程序并撰写一篇有关它的论文。当我开始时,我不知道什么是类型提供程序。
我正在开发LAN项目唤醒功能,但是我想控制局域网中计算机是否打开。但是我不想使用ICMP或WMI(我的网络上有DC)。那么,对于此问题,是否还有其他选择,例如“套接字连接”,请检查特定端口是否正在使用
我们有一个旧的VB6应用程序,该应用程序使用Crystal Reports XI生成打印报告。我们已经通过经验发现,如果Crystal Reports打印引擎选择了错误版本的 usp10.dll (W
我正在尝试获取有效的 Android 权限列表。我知道 http://developer.android.com/reference/android/Manifest.permission.html
嗨,我是 nginx 的新手,我试图在我的服务器(运行 Ubuntu 4)上设置它,它已经运行了 apache。 所以在我 apt-get install 它之后,我尝试启动 nginx。然后我收到这
如何在VB 6中检查对象的类型-除了'TypeName'之外,是否还有其他方法,因为无法通过'TypeName'进行检查,我希望使用类似QuichWatch窗口的方法。 最佳答案 对于对象变量,请使用
我的 JSP 应用程序中有一个错误。发布后我的 session 被清除: YAHOO.util.Connect.asyncRequest('POST', Url, callback, post
我是一名优秀的程序员,十分优秀!