题目:冒充登陆用户
题目描述:
小明来到一个网站,还是想要key,但是却怎么逗登陆不了,你能帮他登陆吗?
题目界面
思路:
第一步:根据题目描述,需要进行登录,但是并未发现登录页面,尝试login,admin等页面寻找不存在,就尝试老套路,审计代码和请求数据头
代码未发现线索
发现Cookie明文传送
第二步:尝试修改Cookie进行测试
成功找到key
进行提交验证:
成功提交答案
扩展:
一般HTTP是无状态协议,但是需要记录用户状态,所以会通过Cookie和Sessio的方式进行类似口令的验证,但是在传输Cookie时建议进行加密处理,本题就是因为Cookie采用明文传输导致可以进行篡改,修改登陆状态。
网友评论