Cookie hacking：是否可以手动编辑它们？答案

【问题标题】：Cookie hacking: is it possible to edit them manually?Cookie hacking：是否可以手动编辑它们？
【发布时间】：2021-05-14 16:03:48
【问题描述】：

我想这不是第一次有人问这个问题了。但我无法得到明确的答案。

是否可以“破解”cookie？例如，如果有人登录，我会创建一个“用户 ID”cookie，其值为“usr01301”，这是对该用户的引用。如果该用户正在加载网页，网站将检查 cookie。如果“用户 ID”可用，用户将使用与该用户 ID 关联的帐户登录。

但是，有人可以手动编写这个 cookie 吗？还是换个ID？能够使用此 cookie 登录。

【问题讨论】：

【解决方案1】：

可预测的 cookie 是个坏主意。这样，任何人都可以预测该网站上存在的任何用户的 cookie。并且手动编辑也可能广告有很多可用的工具可以在互联网上自动完成。 https://bugarena.com/single/Y7A7WOZ1520

【讨论】：

【解决方案2】：

是

Session Hijacking 是一个非常真实的东西，它很容易在任何没有良好安全系统的网站上被利用。在 cookie 中使用用户名是一个非常非常糟糕的主意。

有一些浏览器插件可以让edit cookies 变得容易，但您甚至可以使用许多浏览器附带的开发者控制台来完成。

就此而言，您根本不需要浏览器。 wget 可以从命令行执行http requests with cookies。

【讨论】：

哦，这真是一件坏事。我是auth的新手，所以只是想出很多东西，然后学习一些东西。什么是编写 cookie 的好方法，但也可以授权另一种方式来确保有人没有编辑 cookie？
@WoutervanStralen 查看会话劫持维基百科页面。它有一个关于“预防”的部分。这是对要研究的主题的一个很好的概述。简而言之：安全性很难，这就是为什么通常最好使用由（希望）更有经验的开发人员考虑这些方面的框架。