信息泄露之cookie

谁践踏了优雅 2023-01-06 12:57 192阅读 0赞

我今天正快乐在互联网遨游随便点了很多网站，都是看着人畜无害的网站比如私人镜像网站……。点完后悔了，万一他们窃取我密码怎么办呢。我有被迫害妄想症，然后我想到xss里的窃取cookie。这毕竟是一个思路嘛，可能还有其他窃取私人信息的思路。先说窃取cookie。当然我后来觉得自己的问题好弱智，但是还是按照自己当时思路说一遍。

窃取我的cookie 窃取什么cookie 一个网站的还是所有网站的（傻X问题 现在想来）

首先说答案： **cookie一般情况下只能同域或者子域名才访问得到。不同域名的网站设置的 cookie 是互相独立的（隔离的）。这一点由浏览器来保证，以确保安全性**。（这是默认情况下 不考虑跨域读取cookie。。。）

这里牵扯到域这个概念。

cookie 一般是由与用户访问页面而被创建的 ， 可是并不是只有在创建 cookie 的页面才可以访问这个cookie。在默认情况下，出于安全方面的考虑，只有与创建 cookie 的页面处于同一个目录或在创建cookie页面的子目录下的网页才可以访问。

当服务端设置的cookie是否生效取决于**domain域的设置是否正确**，当domain域设置正确后，cookie的设置才会生效，才能在以后的请求中读取。cookie**只能设置成当前域名或父域名**。domain参数可以**设置父域名以及自身，但不能设置其它域名，包括子域名**，否则cookie不起作用cookie的作用域是domain本身以及domain下的所有子域名。**Cookie 的路径PATH是相对于域domain的地址**。

cookie格式：

Set－Cookie: NAME=VALUE；Expires=DATE；Path=PATH；Domain=DOMAIN\_NAME；SECURE：

这里只讨论Path Domain.Path规定属性定义了Web服务器上哪些路径下的页面可获取服务器设置的Cookie。一般如果用户输入的URL中的路径部分从第一个字符开始包含Path属性所定义的字符串，浏览器就认为通过检查。如果Path属性的值为“/”，则Web服务器上所有的WWW资源均可读取该Cookie。同样该项设置是可选的，如果缺省时，则Path的属性值为Web服务器传给浏览器的资源的路径名。

Domain该变量是一个只写变量，它确定了哪些Internet域中的Web服务器可读取浏览器所存取的Cookie，即只有来自这个域的页面才可以使用Cookie中的信息。这项设置是可选的，如果缺省时，设置Cookie的属性值为该Web服务器的域名

我能想到这么愚蠢的问题说明我基础太差了 没有记忆没有理解，同时说明遇到问题第一步读**concept**。概念概念概念概念概念 读读读读。又是傻x的一天，还有其他问题比如**访问path**，但是和我暂时没有关系不影响我上网等研究xss再说。接下来我要研究蜜罐追踪。。

关于跨域 [https://blog.csdn.net/chou\_out\_man/article/details/80664413][https_blog.csdn.net_chou_out_man_article_details_80664413]

[https://www.cnblogs.com/xiangkejin/p/8952801.html][https_www.cnblogs.com_xiangkejin_p_8952801.html]

参考：[https://www.cnblogs.com/chenqianpeng/archive/2012/04/24/2468642.html][https_www.cnblogs.com_chenqianpeng_archive_2012_04_24_2468642.html]

[https://blog.csdn.net/ludengji/article/details/61428783?utm\_medium=distribute.pc\_relevant\_t0.none-task-blog-BlogCommendFromBaidu-1.control&depth\_1-utm\_source=distribute.pc\_relevant\_t0.none-task-blog-BlogCommendFromBaidu-1.control][https_blog.csdn.net_ludengji_article_details_61428783_utm_medium_distribute.pc_relevant_t0.none-task-blog-BlogCommendFromBaidu-1.control_depth_1-utm_source_distribute.pc_relevant_t0.none-task-blog-BlogCommendFromBaidu-1.control]

[https_blog.csdn.net_chou_out_man_article_details_80664413]: https://blog.csdn.net/chou_out_man/article/details/80664413
[https_www.cnblogs.com_xiangkejin_p_8952801.html]: https://www.cnblogs.com/xiangkejin/p/8952801.html
[https_www.cnblogs.com_chenqianpeng_archive_2012_04_24_2468642.html]: https://www.cnblogs.com/chenqianpeng/archive/2012/04/24/2468642.html
[https_blog.csdn.net_ludengji_article_details_61428783_utm_medium_distribute.pc_relevant_t0.none-task-blog-BlogCommendFromBaidu-1.control_depth_1-utm_source_distribute.pc_relevant_t0.none-task-blog-BlogCommendFromBaidu-1.control]: https://blog.csdn.net/ludengji/article/details/61428783?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromBaidu-1.control&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromBaidu-1.control