摘要:什么是在網(wǎng)絡(luò)應(yīng)用中被稱為會(huì)話控制。現(xiàn)在大多數(shù)站點(diǎn)采用基于的管理方式用戶登陸成功后�,設(shè)置一個(gè)唯一的標(biāo)識本次會(huì)話,基于這個(gè)標(biāo)識進(jìn)行用戶授權(quán)��。防止注入過濾用戶輸入每次請求做其他驗(yàn)證中取加密后的用戶���,中取用戶并加密��,比較二者��,不同時(shí)攔截住����。
什么是Session?
Session在網(wǎng)絡(luò)應(yīng)用中被稱為“會(huì)話控制”。
Session存儲(chǔ)在服務(wù)器端���。
用戶A訪問網(wǎng)站B�,A登錄網(wǎng)站后,服務(wù)器會(huì)創(chuàng)建一個(gè)Session來保存用戶狀態(tài)和相關(guān)信息���。每個(gè)Session對應(yīng)一個(gè)標(biāo)識符SessionID來標(biāo)識用戶身份����。SessionID一般是由服務(wù)器以加密的方式寫到cookie中的����,這樣用戶A登錄后��,訪問網(wǎng)站B中不同的網(wǎng)頁時(shí)請求中會(huì)帶上SessionID來標(biāo)識他的身份,以此實(shí)現(xiàn)一次登錄����,訪問全網(wǎng)站。(現(xiàn)在大多數(shù)站點(diǎn)采用基于cookie的session管理方式:用戶登陸成功后,設(shè)置一個(gè)唯一的cookie標(biāo)識本次會(huì)話����,基于這個(gè)標(biāo)識進(jìn)行用戶授權(quán)�����。只要請求中帶有這個(gè)標(biāo)識�����,都認(rèn)為是登錄態(tài)�。)
Session劫持
只要請求中帶有這個(gè)標(biāo)識����,都認(rèn)為是登錄態(tài)
這就危險(xiǎn)了���,一旦你的標(biāo)識被別人獲取�,你的Session就被別人劫持了���,他就可以用你的身份為所欲為�。
最基本的cookie竊取方式:xss漏洞
攻擊者最簡單獲取他人cookie信息的方法是XSS攻擊,想辦法注入js腳本到被攻擊者客戶端并執(zhí)行���,通過執(zhí)行這個(gè)js腳本���,攻擊者在被攻擊者登錄后獲得了他的SessionID�,通過在自己客戶端修改sessionId獲得了被攻擊者的身份,后果不堪設(shè)想���。�����。。
防御方法
cookie設(shè)置為HttpOnly�,js腳本就無法再獲取cookie���,也就無法得到你的會(huì)話標(biāo)識���。
防止xss注入:過濾用戶輸入
每次請求做其他驗(yàn)證:cookie中取加密后的用戶id�����,session中取用戶id并加密,比較二者,不同時(shí)攔截住�����。(個(gè)人理解)
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/69121.html
