Cookies欺骗分析与防护

今天来谈谈cookies欺骗是怎么回事以及如何避免。

用户在登录之后通常会保存用户信息，以便在其他需要权限的页面去验证用户信息是否具有访问权限。

有同学说我在登录的时候已经很注意SQL注入问题了，还有什么不安全的地方么？

当然有！这个要首先谈一个问题，那就是用户身份验证的流程 如下图：

因此我们可以看出，一个页面是否能够被访问，判断依据是通过存储信息区域中用户的信息来判断的

而登录页面的作用就是 验证 用户输入的用户名+密码的组合是否在数据库中存在，如果存在则把信息保存在存储信息的区域，以便各个页面去判断权限

OK，理清这个思路之后我们的重点就来了，那个信息存储区域对于我们来说至关重要，一般常见的有两种形式，session和cookies

session和cookies同样都是针对单独用户的变量（或者说是对象好像更合适点），不同的用户在访问网站的时候 都会拥有各自的session或者cookies，不同用户之间互不干扰。

他们的不同点是：

1，存储位置不同

session在服务器端产生，比较安全，但是如果session较多则会影响性能

cookies在客户端产生，安全性稍弱

2，生命周期不同

session生命周期 在指定的时间（如20分钟）到了之后会结束，不到指定的时间，也会随着浏览器进程的结束而结束。

cookies默认情况下也随着浏览器进程结束而结束，但如果手动指定时间，则不受浏览器进程结束的影响。 

由于如果用户信息使用session保存的话，用户信息往往会丢失而需要重新登录，使用cookies的话则可以长时间有效比较利于用户体验，那session的情况我们不讨论，下面说说使用cookies保存用户信息的情况。

我们首先创建两个页面分别是Login.aspx和Main.aspx。Login.aspx用于获取并保存用户信息到cookies中，Main.aspx则用户验证用户是否有权访问本页面，我们在本例中设定，登录用户有权访问，匿名（未登录）用户，拒绝访问。

首先来看Login.aspx 我们先创建两个按钮

“获取登录状态”按钮会 把信息保存到cookies中，这里仅保存UID，然后重定向到Main.aspx

“未获取登录状态”按钮 直接重定向到Main.aspx 进行匿名访问

Login.aspx.cs 程序代码：

    protected void Page_Load(object sender, EventArgs e)
    {
        //每次加载登录页面 清理UID 清除登录状态
        Response.Cookies["uid"].Value = "0";
    }
    protected void Button1_Click(object sender, EventArgs e)
    {
        //验证步骤略过，假设用户通过验证并且得到如下信息：

        int uid = 1; //用户唯一ID
        string username = "admin"; //用户名
        string userpwd = "123456"; //用户密码

        //接下来要保存用户登录状态
        Response.Cookies["uid"].Value = uid.ToString();

        //跳转到登录后的页面
        Response.Redirect("Main.aspx");

    }
    protected void Button2_Click(object sender, EventArgs e)
    {
        //未经验证直接进入Main.aspx
        Response.Redirect("Main.aspx");
    }

在Main.aspx中进行验证用户是否已经登录

    protected void Page_Load(object sender, EventArgs e)
    {
        CheckLogin();
    }


    private void CheckLogin()
    {
        if (Request.Cookies["uid"] != null && GetUserInfo(int.Parse(Request.Cookies["uid"].Value), "") != "")
        {
            Response.Write(GetUserInfo(int.Parse(Request.Cookies["uid"].Value), "username") + "已登录");
        }
        else
        {
            Response.Write("您尚未登陆，<a href='login.aspx'>点此登录</a>");
        }
    }


    /// <summary>
    /// 模拟一个获取用户信息的方法
    /// 然而实际操作中需要通过ID查询数据库来获取用户信息
    /// 这里为了方便演示就直接return固定的值了
    /// </summary>
    /// <param name="uid"></param>
    /// <param name="key"></param>
    /// <returns></returns>
    private string GetUserInfo(int uid, string key)
    {
        if (uid == 1) //这里只设置uid为1的用户，其他的UID的用户不存在
        {
            switch (key)
            {
                case "username": return "admin";
                case "password": return "123456";
                default: return "null";
            }
        }
        else
        {
            return "";
        }
    }

 OK，我们来测试一下，点击获取登录状态，实际上相当于用admin,123456这个组合来登录。

好的，登录成功，我们再来测试下匿名登录，点击未获取登录状态

事情好像比我们想象的要顺利，目前来说我们想要的效果已经都实现了，但是事实上真的是这样吗，显然不是！

我们刚才说过，cookies是在客户端产生，也就是我们自己的电脑上保存的

另一方面，Main.aspx这个页面判断 你是否能够访问的依据就是 cookies中的值是多少，如果是1，则认为你当前身份是UID为1的用户，如果是5，则认为你当前身份是UID为5的用户。

那么我们考虑一个事情，如果把我的cookies中的UID修改掉，比如改成35，是不是可以直接绕过登录页面，就可以以UID为35的用户身份登录呢？

事实上确实是这样，这也就是标题中所说的cookies欺骗。由于cookies是客户端产生我们可以很容易的修改，因此产生安全隐患。

下面就来实际测试一下，首先下载一款软件 老兵cookies欺骗工具 界面如下图：

在Address中输入我们项目的访问地址，然后连接

然后正常操作一遍，分别点击 获取登录状态  和  未获取登录状态

   

发现我们正常操作是正常的判断，下面重点来了，我们要修改cookies值 点击未获取登录状态 一样可以被授权访问

 

登录成功了，那么我们应该如何避免这样的问题呢？

正确的做法是，把密码同时存入cookies（当然实际操作时候需要MD5加密保存，这里为了方面演示使用明文保存），然后在Main.aspx验证时候，同时验证UID和密码是否匹配即可。

我们来修改一下代码:

Login页面

protected void Page_Load(object sender, EventArgs e)
    {
        //每次加载登录页面 清理UID 清除登录状态
        Response.Cookies["uid"].Value = "0";
        Response.Cookies["pwd"].Value = "";
    }
    protected void Button1_Click(object sender, EventArgs e)
    {
        //验证步骤略过，假设用户通过验证并且得到如下信息：

        int uid = 1; //用户唯一ID
        string username = "admin"; //用户名
        string userpwd = "123456"; //用户密码

        //接下来要保存用户登录状态
        Response.Cookies["uid"].Value = uid.ToString();
        Response.Cookies["pwd"].Value = userpwd;
        //跳转到登录后的页面
        Response.Redirect("Main.aspx");

    }
    protected void Button2_Click(object sender, EventArgs e)
    {
        //未经验证直接进入Main.aspx
        Response.Redirect("Main.aspx");
    }

Main页面

private void CheckLogin()
    {
        if (Request.Cookies["uid"] != null && Request.Cookies["pwd"] != null && GetUserInfo(int.Parse(Request.Cookies["uid"].Value), "") != "")
        {
            if (Request.Cookies["pwd"].Value == GetUserInfo(int.Parse(Request.Cookies["uid"].Value), "password"))
            {
                Response.Write(GetUserInfo(int.Parse(Request.Cookies["uid"].Value), "username") + "已登录");
            }
            else
            {
                Response.Write("您尚未登陆，<a href='login.aspx'>点此登录</a>");
            }
        }
        else
        {
            Response.Write("您尚未登陆，<a href='login.aspx'>点此登录</a>");
        }
    }

这样改动之后，用户如果再以修改cookies企图绕过验证的话，那么他除了修改UID之外，还必须修改pwd为正确的密码。

有同学问：那如果他就是把PWD改成正确的密码了呢？

这位同学...你的密码都别别人窃取了...那么再安全的程序代码也救不了你....

本文中案例源码及相关工具下载：http://files.cnblogs.com/webconfig/Cookies%E6%AC%BA%E9%AA%97.rar

感谢小伙伴们的热烈讨论，按照 @老牛吃肉 和其他同类观点的用户的建议，我尝试做了另一方案，做下补充。

使用DES把UID加密放在cookies中，在验证阶段解密验证。

http://www.cnblogs.com/webconfig/p/3624831.html

本文出自 低调码农的笔记簿 http://www.cnblogs.com/webconfig/p/3623343.html 转载请注明出处，如有谬误不当之处，欢迎指正拍砖，不胜感谢！！