ASP.NET 中如何使用COOKIE欺骗

原帖地址；http://www.cr173.com/html/7205_1.html

由于此文出处较早，仅具有参考价值。

Session，通常服务端使用方式Session["uid"]获取到的值就是你的用户名。A与B访问该页面，服务器返回Session["uid"]的值不同。为什么？是通过Cookie值有个ASP.NET_SessionId的Cookie变量。但用户登入后，服务器给每个访问者分配的该值不同。那么通过这个唯一值就可以获取Session["uid"]的值。如下图

那么好，看图说话。很清楚，传给服务器的sessionID不同，那么服务器就会认为你是另一个人。如何伪装成另一个人呢？如果修改自己Cookie的ASP.NET_SessionId呢？我是同时用FireFox和IE同时登入一个需要登录的网页。然后FIREFOX安装Web Develop插件，IE安装了HttpWatch。 这样从IE的HttpWatch中查看Cookie。将ASP.NET_SessionId的值复制。然后在FireFox中的Web Develop下修改当前ASP.NET_SessionId的值。粘帖刚才复制的。然后再点击Firefox中的页面就会发现登入人已经更换为IE中登入的那个帐号了。