破解一个http cookie并访问一个随机用户的帐户！

Question

我最近在找很多关于饼干的信息。最吸引我的是，饼干以各种形式出现，可以通过arp、毒害和欺骗本地网络或无线进行劫持。

我没有看到一个我想问的案子。

一个潜在的黑客真的能破解并枚举一个随机的用户cookie并将破解的cookie扔回去吗？

我们假设该网站获得了大量的流量，并有许多用户同时登录。

如果我们想不受这种攻击，我们可以在一段时间后注销用户，或者在全球范围内使用https证书，但这不是这里的主题。

Answer 1

防止枚举有效的会话cookie很容易:只要使搜索空间太大，攻击者就无法在本世纪找到另一个有效值。例如，如果cookies是加密安全的伪-随机128位值，那么可能一次就会有10亿(~2^30)个唯一的活动会话(永远不会过期)，并且您可能会有一个僵尸网络，每个IoT设备都会每秒发送1000个请求(总计2^40次猜测/秒)，平均来说，要找到第一个有效的令牌还需要大约4.5亿年的时间。128位甚至也没有那么长，只有16字节的数据。

即使会话标记不仅仅是随机的数据点，而且包含一些可预测的信息，只要不可预测的部分有足够的熵，这也是可行的。例如，JSON令牌(JWT)包含一大块纯文本数据(base64 64编码，但这很容易解码，不提供安全性)，然后是签名(不对称签名或MAC)。让我们假设它使用带有SHA-256和256位密钥的HMAC；宇宙的热死早在你有任何希望强暴这个键之前就已经到来了，即使你今天可以把地球上的每一个计算设备都设置成只做它的事情。