2006年5月26日

浙江移动网站用户天地板块存在Cookies欺骗

Author: Hagen.GoO 转载请注明作者出处
MSN contact: wantm009@hotmail.com
Keyword: 浙江移动,cookies 欺骗
Quote:

浙江移动网站上的“用户天地”板块可以免费发送短信。免费的不用白不用。于是注册了一个用户,正确登录网站后,发现服务器向浏览器写了一个Cookie,内容包含 JSESSIONID 和 LOGINCOOKIE 两项。格式类似这样:

JSESSIONID:GxgJn1gb6nqjlkj2vyyX8vcN41vDpFhBsSf2Yh03f1lryDGwyQk2!637930837
LOGINCOOKIE:100012

从名字上判定:
JSESSIONID 应该是本次登录的Session;
LOGINCOOKIE 可能是用户的ID编号。

多页面的 Opera 浏览器,提供了一个好用的 Cookies 修改工具,用 Opera 浏览并登录“用户天地”板块,然后按照格式随意修改其 Cookies 的2个数值,再在新页面中打开“用户天地”板块,竟然显示已经是别人身份登录了,而且功能完全正常。个人推测:服务器在检测 Cookies 的时候只检查了是否包含 JSESSIONID 和 LOGINCOOKIE 的值,而没匹配其 SessionID 是否是当前浏览器产生的,当网页读取 Cookies,发现存在 JSESSIONID 和 LOGINCOOKIE 时,就读出 LOGINCOOKIE 对应的用户信息。虽然伪造的 Cookies 不能直接得出用户的密码,但是可以查看和修改用户登记的信息,也可以冒该用户的名发送短信。

没有评论: