是否有可能推断高级cookie属性,如从Wireshark过期。
是否有可能推断高级cookie属性,如从Wireshark过期。
提问于 2019-07-06 18:46:01
为了演示目的,我想执行cookie注入攻击。
我可以使用火狐Cookie-Editor扩展来实现这一点。但是,只有在输入cookie name、value和高级参数(如expiration date )并检查cookie是否为httponly、Secure、hostonly, Session时,攻击才能成功。
我无法从Wireshark中提取高级属性。我只能看到cookie的名称和值。
知道如何使用Wireshark提取cookie高级属性吗?
回答 1
Security用户
回答已采纳
发布于 2019-07-06 19:20:05
cookie的属性由服务器在header的Set-Cookie字段中设置,或者可以使用JavaScript设置cookie(包括其属性)。在header的Cookie字段中,只能看到cookie的值,而不能看到它的属性。
这意味着要查找cookie的属性,您必须查看设置cookie的HTTP响应,这可能是在发送使用此cookie的HTTP请求之前很长一段时间(甚至很久以前)。或者,您必须研究站点的HTML中包含的所有JavaScript (甚至是第三方JavaScript),以确定某些cookie是否以这种方式设置,以及使用了哪些属性。再说一遍,饼干可能是很久以前就放好了。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/213071
复制相关文章
相似问题
腾讯云开发者
