基础关-9

题目：冒充登陆用户

题目描述:

小明来到一个网站，还是想要key，但是却怎么逗登陆不了，你能帮他登陆吗？

---

题目界面

思路:
第一步：根据题目描述，需要进行登录，但是并未发现登录页面，尝试login,admin等页面寻找不存在，就尝试老套路，审计代码和请求数据头

代码未发现线索
发现Cookie明文传送

第二步：尝试修改Cookie进行测试

成功找到key

---

进行提交验证:

成功提交答案

---

扩展：
一般HTTP是无状态协议，但是需要记录用户状态，所以会通过Cookie和Sessio的方式进行类似口令的验证，但是在传输Cookie时建议进行加密处理，本题就是因为Cookie采用明文传输导致可以进行篡改，修改登陆状态。