CTFHUB-技能树-Web前置技能-Cookie

技能树-Web前置技能-Cookie

做这道题需要了解cookie是什么，cookie的作用等

Cookie

Cookie用于服务端辨别用户身份，储存在用户本地的数据。
可以解决客户端与服务端会话状态的问题，这个状态是指后端服务的状态而非通讯协议（HTTP）的状态。
域名下的Cookie 值一般来说是最大是 4KB，存储是以 Name=Value 的形式。

Cookie 的用途

网站使用 HTTP Cookie 来优化您的网络体验。如果没有 Cookie，您每次离开网站后都必须登录，或者如果不小心关闭了页面，必须重新配置购物车。生成 Cookie 是现代互联网体验的重要组成部分。

更简洁地说，Cookie 的用途包括：

会话管理：例如，Cookie 使网站能够识别用户并记住他们的个人登录信息和偏好，例如体育新闻与政治。
个性化：定制广告是 Cookie 使会话个性化的主要方式。您可能会查看网站的某些项目或部分内容，Cookie 使用此数据帮助制作您可能喜欢的定向广告。它们也用于语言偏好。
跟踪：购物网站使用 Cookie 来跟踪用户以前查看过的商品，使网站能够向用户推荐他们可能喜欢的其他商品，并在用户继续在网站其他部分购物时保留购物车中的商品。它们还将跟踪和监测性能分析，例如您访问某个页面的次数或您在某个页面上花费的时间。
虽然这主要是为了您的利益，但 Web 开发人员也从这种设置中获得了很多好处。Cookie 存储在您的设备本地，以释放网站服务器的存储空间。反过来，网站可以使内容个性化，同时节省服务器维护资金和存储成本。

Cookie 常见的属性

名称（Name）：Cookie 的标识符，用于在客户端和服务器之间传递数据。

值（Value）：与 Cookie 关联的值，可以是任何字符串。

域（Domain）：指定可以访问 Cookie 的域名。如果未设置，则默认为创建 Cookie 的网页的域名。

路径（Path）：指定可以访问 Cookie 的路径。如果未设置，则默认为创建 Cookie 的网页所在的路径。

过期时间（Expires）：指定 Cookie 的过期时间，也就是 Cookie 将被自动删除的时间点。如果未设置，则表示该 Cookie 在用户关闭浏览器时被删除。

有效期（Max-Age）：指定当前Cookie经过多少秒失效，等于0是关闭浏览器立即失效，小于0是Cookie无效 立即删除。max-age的优先级比exprises高。

安全标志（Secure）：如果设置了该标志，表示该 Cookie 只能通过加密协议（如 HTTPS）传输。

HttpOnly 标志（HttpOnly）：如果设置了该标志，那么该 Cookie 只能通过 HTTP 协议传输，而不能通过 JavaScript 等脚本语言来访问。这有助于防止跨站点脚本攻击（XSS）。

其中 Expires / Max-Age
Expires 是当前 Cookie 的过期时间，默认是会话级别。

Max-Age 是当前 Cookie 经过多少秒失效。

大于 0 是计算经过多少秒失效
等于 0 是会话级别，关闭浏览器就失效
小于 0 是指 cookie 无效，立即删除
Max-Age 的优先级比 Expires 更高。

解题思路也是两种：

法1：火狐

F12，在存储中发现cookie

cookie值为0，删除。

cookie值为>1（正数），表示该Cookie会在maxAge秒之后自动失效。

cookie值为-1（负数），仅在本浏览器窗口或者本窗口打开的子窗口中有效，关闭浏览器后该Cookie立即失效。

将admin的值改为1，刷新页面

法2：bp抓包

抓包将admin改为1

发送即可

法3：crul命令

curl url  --cookie "admin=1;"

Cookie属性学习参考：
https://blog.youkuaiyun.com/qq_43038960/article/details/130325435