Web (新手练习题)之 Cookie

0x01 前言

Cookie是当主机访问Web服务器时，由 Web 服务器创建的，将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies，指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据，而这些数据通常会经过加密处理。

简单的说，cookie就是服务端为了让用户不在每次访问需要登录的页面都要登录一次，而生成的一种证明身份的数据。服务器可以设置或读取Cookies中包含信息，借此维护用户跟服务器会话中的状态。

cookie中常常包含了一些敏感消息：用户名、计算机名、使用的浏览器和曾经访问的网站等，当得到没有过期的cookie时就能绕过登录甚至做更多的事。

想玩玩攻防世界的朋友，CE已附上XCTF Web 练习题传送门：https://adworld.xctf.org.cn/

难度系数： 一星

题目来源： Cyberpeace-n3k0

题目描述：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？

题目分析：装X老师，让小宁去找Cookie，CE个人猜测我们想要的Flag就在Cookie里面

补充知识如下

http的headers中包含的部分为：

Host：请求的域名或者ip

Content-Length：用于表示http消息实体的传输长度（即表示实体长度又表示传输长度，如果实体长度和传输长度不一致则不能有Content-Length），即有tansfer-encoding时，Content-Length将被忽略

Accept：用于指定客户端接收哪些类型的信息，此例子表示希望接收html文本

User-Agent：简称UA，其中包含一些用户信息，使用的操作系统及版本，浏览器及版本等

Content-Type：互联网媒体类型，用来表示在具体请求中的媒体类型信息　　　　　

类型格式：type/subtype(;parameter)? type

主类型，任意的字符串，如text，如果是*号代表所有；

subtype 子类型，任意的字符串，如html，如果是*号代表所有；

parameter 可选，一些参数，如Accept请求头的q参数， Content-Type的 charset参数

常见的媒体格式类型如下：

    text/html ： HTML格式

    text/plain ：纯文本格式

    text/xml ： XML格式

    image/gif ：gif图片格式

    image/jpeg ：jpg图片格式

    image/png：png图片格式

   以application开头的媒体格式类型：

   application/xhtml+xml ：XHTML格式

   application/xml     ： XML数据格式

   application/atom+xml ：Atom XML聚合格式

   application/json    ： JSON数据格式

   application/pdf       ：pdf格式

   application/msword ： Word文档格式

   application/octet-stream ：二进制流数据（如常见的文件下载）

   application/x-www-form-urlencoded ： <form encType=””>中默认的encType，form表单数据被编码为key/value格式发送到服务器（表单默认的提交数据的格式）

Referer: 当浏览器向web服务器发送请求时一般会带上referer，告诉服务器从哪个页面来，基于此可获取一些信息做处理

Accept-Encoding: 浏览器发给服务器，声明服务器支持的编码类型

Accept-Language: 允许客户端声明自己支持的语言类型

Cookie: 存放在本地文件中用于保存一些用户信息

0x02 插件工具HTTP Headers 查看Cookie

Live HTTP Headers是一款可以帮助用户查看当前使用Chrome打开的所有网页的状态，在Chrome安装了Live HTTP Headers插件以后，用户使用Chrome打开某个网站以后，就可以使用Live HTTP Headers插件来立即查看当前网页中的HTTP Header信息，在这些信息中会包含当前网页的加载情况，比如资源的访问状态：200、301、404等，通过对这些信息的分析就可以很好地调试当前的网页，给网站的开发者带来便利