Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Cookie Theft and Session Hijacking

shawn0102
August 16, 2014

Cookie Theft and Session Hijacking

shawn0102

August 16, 2014
Tweet

More Decks by shawn0102

Other Decks in Programming

Transcript

  1. cookie有关的术语 • session cookie • persistent cookie/tracking cookie • secure

    cookie • httpOnly cookie • third-party cookie • supercookie • zombie cookie/evercookie
  2. XST • XST = Cross Site Tracing = XSS +

    http trace • http trace是让我们的web服务器将客户端的所有请求信 息返回给客户端的⽅方法。其中包含了httpOnly的 cookie。 • 最佳实践是关闭服务器的trace功能。 • 但是当使⽤用代理的时候,代理可以被配置成⽀支持trace, 从⽽而⼜又可以进⾏行xst攻击了,所以代理要慎⽤用! • 还好现代浏览器禁⽤用了异步发送trace请求的功能。