通过伪造请求来欺骗网站(四)

账号登录只是 Cookie 的用途之一,事实上这种将匿名访问转为“实名”访问的技术无处不在。当你浏览网页时,服务器可以分配各种账号无关的 Cookie 来收集及追踪网页浏览。不过这个“实名”是客户端,就是说服务器可以知道是什么客户端浏览了什么内容。是机器层面的,不是人的身份。当有多个账号登录网站时,服务器就会分配多个 Cookie,如果这些 Cookie 信息均泄露,那么获得者就可以同时冒用多个账号的身份和网站交互,制造一些有趣的事情。

通过伪造请求来欺骗网站(三)

网站的有些功能需要登录才能使用(比如发表评论),Web 系统一般用 Cookie 来标识用户(客户端)身份,存储登录状态。当你登录网站后,客户端和服务器传输的数据里就会包含 Cookie 信息,服务器根据 Cookie 来判断你的登录状态。如果这个 Cookie 信息泄露了,那得到 Cookie 信息的人就可以使用你的身份和网站交互(比如发表评论),而且不需要登录,当然也不需要密码。

通过伪造请求来欺骗网站(一)

这是个实际演示,通过发送伪造的 HTTP Post 请求来欺骗网站服务器,达到人为的数据异常效果。这里欺骗的对象是一个新闻门户网站,伪造的请求是一条新闻评论的点赞。简单说就是一种机器“点赞”的效果。