安全Cookie的设计开发C# 第11页

C#安全Cookie的设计开发

图5.1.1-8 Cookies & Inject Browser工具界面

使用Cookies & Inject Browser工具在Cookie栏中输入工作站一中所看到的Cookie信息“ClearCookie=dsz”，然后打开网站http://Cookie1.d，可以看到default.aspx被打开了，系统并没有跳到login.aspx去要求登陆。如图5.1.1-9所示。

图5.1.1-9 使用他人的Cookie成功通过验证

在工作站一中打开网站http://Cookie2.d，打开登陆页面，输入用户名密码，并选中“下次自动登陆”。如图5.1.1-10所示。

图5.1.1-10 加密Cookie系统登陆界面

登陆成功后，界面上显示了Cookie名、Cookie内容以及从Cookie中解密出来的相关信息，从图5.1.1-11中可以看出，Cookie内容是一长串无规则的字符串，用户无法得知其意义，只有Web服务器可以解密。

图5.1.1-11 加密Cookie系统登陆后界面

从工作站一的Cookie文件夹中打开administrator@Cookie2[2].txt文件，可以看到Cookie内容，但是内容是一长串经过加密的字符串，如图5.1.1-12所示。

图5.1.1-12 Cookie2.d网站的加密的Cookie文件

打开IECookiesView工具，将Cookie2.d网站的Cookie值进行修改，如图5.1.1-13所示。

图5.1.1-13 修改Cookie2.d网站的Cookie

修改完成后，用浏览器打开网址http://Cookie2.d，这时候浏览器并没有如同图5.1.1-7那样打开default.aspx页面，而是跳转到了登陆页login.aspx，可见，修改Cookie值之后，Web服务器拒绝了该Cookie。如图5.1.1-14所示。

若图片无法显示请联系QQ752018766,C#安全Cookie的设计开发系统免费,转发请注明源于www.751com.cn

图5.1.1-14 修改Cookie后网站Cookie2.d需要登陆

到工作站二中使用Cookies & Inject Browser工具打开网站http://Cookie2.d，网站正常的给出了登陆页面。如图5.1.1-15所示。

图5.1.1-15 工作站二中打开Cookie2.d网站

将工作站一中取得的Cookie2.d网站的Cookie填入Cookies & Inject Browser工具的Cookie栏中，在地址栏输入http://Cookie2.d，这时候网站没有要求登陆就跳转到了default.aspx页面，并解密出了Cookie值，如同在工作站一中登陆之后一样，可见该Cookie也被接受了，如图5.1.1-16所示。

图5.1.1-16 工作站一的Cookie被工作站二利用成功

5.1.3MAC/IP绑定加密Cookie模型分析

在工作站一中打开网站http://Cookie3.d，网站要求用户登陆，输入用户名“dsz”密码“dsz_123456”登陆，同时选中“下次自动登陆”。如图5.1.1-17。

图5.1.1-17 MAC/IP绑定加密Cookie系统登陆界面

登陆后网站打开页面default.aspx，显示用户相关信息，这里除了Cookie名、Cookie值、Cookie解密后的信息之外，还有一个客户端MAC地址或者IP地址的显示，与Cookie中解密出来的自定义数据是相符的，如图5.1.1-18所示。

图5.1.1-18 MAC/IP绑定加密Cookie系统登陆后界面

从工作站一的Cookie文件夹中打开administrator@Cookie3[1].txt文件，可以看到Cookie内容，但是内容是一长串经过加密的字符串，如图5.1.1-19所示。

图5.1.1-19 Cookie3.d用户登陆成功后Cookie文件的内容

打开IECookiesView工具，将Cookie3.d网站的Cookie值进行修改，如图5.1.1-20所示。

图5.1.1-20 修改Cookie3.d的Cookie值

修改Cookie之后重新打开网站http://Cookie3.d，此时网站给出登陆界面，要求用户登陆，如图5.1.1-21所示，可见，修改之后的Cookie并没有被服务器接受。

 << 上一页  [11] [12] [13] [14] [15] [16] [17] 下一页