网站的有些功能需要登录才能使用(比如发表评论),Web 系统一般用 Cookie 来标识用户(客户端)身份,存储登录状态。当你登录网站后,客户端和服务器传输的数据里就会包含 Cookie 信息,服务器根据 Cookie 来判断你的登录状态。如果这个 Cookie 信息泄露了,那得到 Cookie 信息的人就可以使用你的身份和网站交互(比如发表评论),而且不需要登录,当然也不需要密码。
网站的有些功能需要登录才能使用(比如发表评论),Web 系统一般用 Cookie 来标识用户(客户端)身份,存储登录状态。当你登录网站后,客户端和服务器传输的数据里就会包含 Cookie 信息,服务器根据 Cookie 来判断你的登录状态。如果这个 Cookie 信息泄露了,那得到 Cookie 信息的人就可以使用你的身份和网站交互(比如发表评论),而且不需要登录,当然也不需要密码。
上一篇博文实际演示了通过程序伪造请求实现的“机器点赞”,这片博文是另外一个演示,把欺骗对象换成了新浪新闻,伪造的请求也是一条新闻评论的点赞。相对来说,新浪新闻的系统就比较有意思一点。
这是个实际演示,通过发送伪造的 HTTP Post 请求来欺骗网站服务器,达到人为的数据异常效果。这里欺骗的对象是一个新闻门户网站,伪造的请求是一条新闻评论的点赞。简单说就是一种机器“点赞”的效果。