cookies漏洞攻击(转载)

问题描述：登录（针对有保存帐号和密码功能的登录）系统时保存Cookies存在安全漏洞：
（经过本人验证此种方法可以轻易登录系统）
漏洞被攻击方法：
第一步：获取远程主机上的cookies（登录时保存过帐号和密码的）文件
第二步：在本机上使用获取的COOKIE文件中的登录域，帐号登录一下系统（注意密码使用一个假密码，验证码填写正确，登录时，选中保存帐号和密码）
第三步：登录后会在C:\Documents and Settings\Administrator\Cookies目录下生成一个Cookies文件
        同时在C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files下
        会生成一个映射文件manager/,现在就用第一步中获取的Cookies文件替换C:\Documents and Settings\Administrator\Cookies目录下的Cookie文件，同时把Cookies文件中的内容拷

贝到manager/中，覆盖原来的
第四步：再从新打开IE就可以在本机成功登录系统

解释一下为什么要做第二步，
1、因为保存Cookie其实保存了两个地方，分别是C:\Documents and Settings\Administrator\Cookies目录下  ，C:\Documents and Settings\Administrator\Local Settings\Temporary

Internet Files下，只有这两个地方都有Cookies，在登录页面才能显示我们登录时保存的信息。
2、而我们本机C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files目录下是没有manager/的，也不能手工去创建或从别处粘帖过来，因为此目录不支持

这些操作（不信试试），所以我们才做第二步，第二步就是为了生成一个manager/文件。

防攻击办法：
1、不要在本地保存Cookies
2、去掉登录页面的保存密码功能