浙江移动网站用户天地板块存在Cookies欺骗

Author： Hagen.GoO 转载请注明作者出处
MSN contact： wantm009@hotmail.com
Keyword： 浙江移动，cookies 欺骗
Quote：

浙江移动网站上的“用户天地”板块可以免费发送短信。免费的不用白不用。于是注册了一个用户，正确登录网站后，发现服务器向浏览器写了一个Cookie，内容包含 JSESSIONID 和 LOGINCOOKIE 两项。格式类似这样：

JSESSIONID：GxgJn1gb6nqjlkj2vyyX8vcN41vDpFhBsSf2Yh03f1lryDGwyQk2!637930837
LOGINCOOKIE：100012

从名字上判定：
JSESSIONID 应该是本次登录的Session；
LOGINCOOKIE 可能是用户的ID编号。

多页面的 Opera 浏览器，提供了一个好用的 Cookies 修改工具，用 Opera 浏览并登录“用户天地”板块，然后按照格式随意修改其 Cookies 的2个数值，再在新页面中打开“用户天地”板块，竟然显示已经是别人身份登录了，而且功能完全正常。个人推测：服务器在检测 Cookies 的时候只检查了是否包含 JSESSIONID 和 LOGINCOOKIE 的值，而没匹配其 SessionID 是否是当前浏览器产生的，当网页读取 Cookies，发现存在 JSESSIONID 和 LOGINCOOKIE 时，就读出 LOGINCOOKIE 对应的用户信息。虽然伪造的 Cookies 不能直接得出用户的密码，但是可以查看和修改用户登记的信息，也可以冒该用户的名发送短信。