• Cookie:cookie是网站用户登陆的凭据(浏览器的记住密码的功能就是通过与浏览器中保存的cookie进行验证后进行登录的)
    cookie是存储在本地的,并且cookie存活时间有长有短
    cookie主要作用于小型网站
    cookie的拓展手法有:cookie盗取,cookie修改,cookie欺骗
    cookie的应用范围:越权漏洞,cookie伪造登陆等
    cookie的安全性没有session高,但cookie不需要占用服务器的资源
    Cookie与Session的区别和作用
  • 跨站点脚本×××(Cross site scripting)。通常跨站点脚本×××往往利用网站漏洞在网站页面中植入脚本代码或网站页面引用第三方法脚本代码,均存在跨站点脚本×××的可能,在受到跨站点脚本×××时,脚本指令将会读取当前站点的所有 Cookie 内容(已不存在 Cookie 作用域限制),然后通过某种方式将 Cookie 内容提交到指定的服务器

  • 把别人的Cookie向服务器提交,并且能够通过验证,他们就可以冒充受害人的身份,登陆网站。这种方法叫做Cookie欺骗。Cookie欺骗实现的前提条件是服务器的验证程序存在漏洞,并且冒充者要获得被冒充的人的Cookie信息。

  • 查看某个网站颁发的Cookie很简单。在浏览器地址栏输入javascript:alert (document. cookie)就可以了(需要有网才能查看)。JavaScript脚本会弹出一个对话框显示本网站颁发的所有Cookie的内容
    Cookie与Session的区别和作用
  • Session:session是网站用户登陆的会话
    session是存储在服务器上的,并且存活时间较短
    session主要作用于大型网站,银行,金融,支付类等
    session需要占用大量的服务器的资源
    session的应用范围:会话劫持
    会话劫持详细内容:http://www.freebuf.com/sectool/39050.html

  • 服务端的session的实现对客户端的cookie有依赖关系的,上面我讲到服务端执行session机制时候会生成session的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部发送给服务端,而这个id值在客户端会保存下来,保存的容器就是cookie,因此当我们完全禁掉浏览器的cookie的时候,服务端的session也会不能正常使用