百度cookie使用分析

1、昨天研究了下百度的cookie,核心是BDUSS这个键,修改为别人的BDUSS就可以随意使用别人的账号访问百度的各项服务,比如贴吧、知道等等。而且这种登陆方式不需要验证码校验。

2、登陆百度只要不退出,服务器端的BDUSS就不会注销,一直可用,即便是临时性cookie(不勾选保存密码复选框,关闭浏览器后cookie失效,但是服务器那面并没注销掉)

3、不同浏览器维护着不同的cookie,cookie存储的文件格式也不尽相同(IE是txt),比如chrome是存在一个名为cookie的sqlite里面(但是要用某种工具打开并且解码查看?),chrome--settings--privacy--content settings--all cookies and site data可以看到所有浏览器保存的经解析的cookies。


4、BDUSS受到http-only保护,不能通过js访问或修改,所有在console中用document.cookie不能把BDUSS打印出来,可以在F12--resources--cookies中查看。本地可以修改BDUSS的属性,让其变成非会话cookie,或者非http-only,这样document.cookie就能把BDUSS打印出来

5、一个浏览器(Chrome)同一时间只有一个cookie(BDUSS)与域(baidu.com)对应

问题:服务器上那个BDUSS没被注销,时效性到底是多久呢?


你可能感兴趣的:(百度,cookie,BDUSS)