摘要:什么是在網(wǎng)絡(luò)應(yīng)用中被稱為會話控制。現(xiàn)在大多數(shù)站點采用基于的管理方式用戶登陸成功后����,設(shè)置一個唯一的標(biāo)識本次會話,基于這個標(biāo)識進(jìn)行用戶授權(quán)���。防止注入過濾用戶輸入每次請求做其他驗證中取加密后的用戶�����,中取用戶并加密���,比較二者,不同時攔截住����。
什么是Session?
Session在網(wǎng)絡(luò)應(yīng)用中被稱為“會話控制”�。
Session存儲在服務(wù)器端。
用戶A訪問網(wǎng)站B�����,A登錄網(wǎng)站后�,服務(wù)器會創(chuàng)建一個Session來保存用戶狀態(tài)和相關(guān)信息。每個Session對應(yīng)一個標(biāo)識符SessionID來標(biāo)識用戶身份。SessionID一般是由服務(wù)器以加密的方式寫到cookie中的����,這樣用戶A登錄后,訪問網(wǎng)站B中不同的網(wǎng)頁時請求中會帶上SessionID來標(biāo)識他的身份��,以此實現(xiàn)一次登錄����,訪問全網(wǎng)站。(現(xiàn)在大多數(shù)站點采用基于cookie的session管理方式:用戶登陸成功后��,設(shè)置一個唯一的cookie標(biāo)識本次會話����,基于這個標(biāo)識進(jìn)行用戶授權(quán)��。只要請求中帶有這個標(biāo)識�,都認(rèn)為是登錄態(tài)。)
Session劫持
只要請求中帶有這個標(biāo)識����,都認(rèn)為是登錄態(tài)
這就危險了,一旦你的標(biāo)識被別人獲取�����,你的Session就被別人劫持了,他就可以用你的身份為所欲為��。
最基本的cookie竊取方式:xss漏洞
攻擊者最簡單獲取他人cookie信息的方法是XSS攻擊�,想辦法注入js腳本到被攻擊者客戶端并執(zhí)行,通過執(zhí)行這個js腳本��,攻擊者在被攻擊者登錄后獲得了他的SessionID�,通過在自己客戶端修改sessionId獲得了被攻擊者的身份,后果不堪設(shè)想�����。���。�����。
防御方法
cookie設(shè)置為HttpOnly��,js腳本就無法再獲取cookie��,也就無法得到你的會話標(biāo)識���。
防止xss注入:過濾用戶輸入
每次請求做其他驗證:cookie中取加密后的用戶id���,session中取用戶id并加密,比較二者����,不同時攔截住。(個人理解)
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/94315.html
