Question

4.4.1 测试原理和方法

服务器为鉴别客户端浏览器会话及身份信息，会将用户身份信息存储在 Cookie 中，

并发送至客户端存储。攻击者通过尝试修改 Cookie 中的身份标识，从而达到仿冒其他用户

身份的目的，并拥有相关用户的所有权限。

4.4.2 测试过程

对系统会话授权认证 Cookie 中会话身份认证标识进行篡改测试，通过篡改身份认证标

识值来判断能否改变用户身份会话。测试流程如图 4-34 所示。

图 4-34 Cookie 仿冒测试流程图

步骤一：使用 leifeng 账号登录系统并进行浏览器页面刷新，如图 4-35 所示。

图 4-35 使用学生账号 leifeng 登录系统

步骤二：使用 Burp

Suite 工具对本次页面刷新请求数据进行截取，并将请求数据

Cookie 中的 userid 值修改为“admin”进行提交，如图 4-36 所示。

图 4-36 再次刷新页面并抓包将 Cookie 中 userid 身份认证标识进行篡改

步骤三：查看提交后的返回信息，账号身份授权被修改，如图 4-37 所示。

图 4-37 通过篡改 userid 身份标识改变登录系统人员身份信息

4.4.3 修复建议

建议对客户端标识的用户敏感信息数据，使用 Session 会话认证方式，避免被他人仿

冒身份。