想必大家都有過在網站上「自動登入」或「購物車記錄不會消失」的經驗吧？

其實，這背後的秘密就是——Cookie。

在 CTF 的 Web 題裡，Cookie 不只是用來記錄使用者狀態而已，還可能藏著敏感資訊，甚至是通往 flag 的鑰匙。

所以說，學會觀察與修改 Cookie，就是 Web 題中最基礎卻常被忽略的武器之一。

什麼是 Cookie？

Cookie 是伺服器存在你瀏覽器的一小段文字，用來辨認你這個使用者。

常見的用途像是：

• 記錄登入狀態（不用每次都重新輸入帳密）
• 儲存偏好設定（像是語言、主題）
• 追蹤使用者行為（廣告分析）

在 CTF 中，Cookie 最常被用來：

• 判斷你是不是管理員（admin）
• 保存重要的 token 或編碼資訊

如何查看 Cookie？

大多數瀏覽器都能在 F12 → Application → Cookies 看到目前網站的 Cookie

你可以觀察每一個 Cookie 的名稱、值、到期時間、屬性

在比賽裡，我們會特別注意 Cookie 的 value，因為它可能是：

• 一串 base64 編碼（可以解碼看看）
• 一個數字（可能改成別的數字就能變 admin）
• 一段加密字串（需要破解或利用）

修改 Cookie

除了觀察之外，Cookie 還能修改！

最簡單的方法就是用開發者工具直接改掉它的值。

例如：

name=role
value=user

如果你改成：

name=role
value=admin

再重新整理頁面，有時候就能直接拿到管理員權限或 flag！

在一些情況下，也需要用 Burp Suite 或 curl 手動送帶有特定 Cookie 的請求，才能觸發題目的條件。

ok接下來我們來看一題題目～

picoCTF - Power Cookie

打開網頁之後裡面是一個Online Gradebook，還有一個按鈕可以以guest的身分繼續

但是按下按鈕後他會顯示We apologize, but we have no guest services at the moment.

查看cookie可以發現他有一個叫isAdmin的cookie，我們將他的值改為1後刷新頁面

我們成功將自己改為Admin並且獲得flag啦～

題單

• Cookies
• Cookie Monster Secret Recipe

以上就是 Cookie 的介紹啦！

想看更多，記得明天再來喔～