这是一个创建于 2659 天前的主题,其中的信息可能已经有所发展或是发生改变。
知道某个论坛 A 的 cookiepre 、 cookiedomain 和 cookiepath ,是不是可以搭建个本地环境,用一样的参数,然后根据论坛 A 的管理员 ID ,就可以对应的在本地伪造出一个 cookies 出来,然后放在论坛 A 上正常使用?
论坛程序应该是 discuz ,我大概脑补出来的过程,好像是可以这么操作的,求程序员解答。。。大 D 的人来解答更好
 |
1
lhbc 2017-01-24 02:29:27 +08:00
Cookies Manager+
用插件直接改 cookie 就可以了 另外,这个不清楚管理员账号的 cookie 是否和 UA, IP 等信息绑定,自己看下代码或者实验下吧。 |
 |
2
shiji 2017-01-24 02:30:07 +08:00  2
看得我目瞪口呆,不知道如何开口。。也不知道从哪说起。。。。
|
 |
3
changwei 2017-01-24 03:57:10 +08:00 via Android
cookie 生成算法的参数不仅仅是管理员 id 和域名路径,因此此方法无效。你当 dz 的作者都是白痴嘛
|
 |
4
Hyduan 2017-01-24 04:05:02 +08:00 via Android
sessionid 呢😌
|
 |
5
shinwood 2017-01-24 07:31:59 +08:00 via iPhone
楼主看看 DZ 登陆里面, auth 这个 cookie 的算法就明白伪造 cookie 的想法多么不靠谱了。
|
 |
6
est 2017-01-24 08:36:42 +08:00
说起信息安全国内怎么 90%的话题都是 Discuz! 。。。。
|
 |
7
justfindu 2017-01-24 08:40:49 +08:00
要是有这么明显的漏洞的话 DZ 居然还能存在这么长时间 也是很厉害的咯
|
 |
8
jugelizi 2017-01-24 11:58:02 +08:00
对哦
我要是有 zfb 的源代码 我要是有 tx 的源代码 既然你会本地搭环境就去试试呀 |
 |
10
misaka19000 2017-01-24 12:28:59 +08:00 via Android
sessionid 的生成算法应该是随机且唯一的吧
|
|
15
est 2017-01-24 14:21:05 +08:00
|
 |
16
kookxiang 2017-01-25 11:25:42 +08:00 via Android
参数里有 cookie 加密密钥,你拿到再说
|
Select Language