2026-03-18 01:16:19 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了Cookie炸弹攻击原理，即攻击者利用服务器将长查询参数写入Cookie的特性，构造超长Cookie致请求头超限，从而导致后端或代理返回400/414/431错误，实现针对特定用户的拒绝服务。文章详细说明了利用Wappalyzer识别追踪参数、构造恶意链接的测试步骤，并指出需组合多个参数或跨子域操作以突破限制。 综合评分： 78 文章分类： WEB安全,渗透测试,漏洞分析,SRC活动

cover_image

原创

h1 h1

迪哥讲事

2026年3月3日 11:02 四川

Cookie炸弹

正文

a. 正常情况（典型广告/追踪参数被接受但很短）

用户点击了带有正常追踪参数的链接：

GET /?gclid=EAIaIQobChM...123&utm_source=newsletter HTTP/1.1
Host: target.com
User-Agent: ...
Cookie: SESSIONID=abc123; other=val

服务器可能将 gclid 写入 cookie：

HTTP/1.1 302 Found
Set-Cookie: gclid=EAIaIQobChM...123; Path=/; HttpOnly
Location: /dashboard

后续请求中，浏览器发送的 Cookie header 仍然很短（几十到几百字节），服务器正常处理。

受到“Cookie Bomb”攻击后的请求

攻击者诱导用户访问：

https://target.com/?gclid=<VERY_LONG_STRING...>

浏览器保存了很长的 gclid cookie。之后任何请求都会带上它：

GET /dashboard HTTP/1.1
Host: target.com
User-Agent: ...
Cookie: SESSIONID=abc123; gclid=<VERY_LONG_STRING...>; other=val

此时 Cookie header 变得非常长（数 KB〜数十 KB）。如果后端或代理的 header 限制小于该长度，可能返回错误，例如：

HTTP/1.1 400 Bad Request
Content-Type: text/html
...

错误码可能是 400、414、431 或由前端代理（如 nginx、HAProxy、Cloudflare）返回的类似错误。

用于跟踪和分析的查询参数常见的有:

gclid (Google Ads) （谷歌广告）

utm_source、utm_medium、utm_campaign (Google Analytics)（谷歌分析）

fbclid (Facebook)（脸书）

dclid（谷歌广告服务平台）

如何去发现这些参数?

使用 Wappalyzer 快速识别目标是否使用了 Google 或 Facebook 追踪。

以前一直不知道这写有什么作用,这里值得收藏

如果存在:

使用 4000 个字符的随机字符串（大约是 Cookie 的最大大小）构造请求。

https://target.com/?gclid=AAAA...[4000 个字符]…AAAA

重新加载时，我检查字符串是否存储为 cookie。

有时一个参数就足以触发 DoS。

其他时候，我必须组合多个参数（gclid + utm_campaign 等）以使总 cookie 大小超过限制。

在少数情况下，我不得不在多个子域中重复攻击，以便设置多个恶意 Cookie。只有将它们合并后，Cookie 的总大小才会超过后端的标头大小限制，从而触发 DoS 攻击

成功后，会发生以下情况：

1.受害者点击恶意链接。

2.跟踪参数以 cookie 形式存储。

3.Cookie 超出了标头大小限制。

4.所有进一步的请求都会失败，并出现诸如 400 错误请求或 414 URI 太大之类的错误。

5.受害者将无法再使用该应用程序，除非他们清除 cookie。

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://infosecwriteups.com/the-cookie-bomb-my-first-10k-in-bug-bounties-f86cb22c37fa

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 h1 h1《Cookie炸弹》