摘要:什么是在網絡應用中被稱為會話控制?,F在大多數站點采用基于的管理方式用戶登陸成功后,設置一個唯一的標識本次會話����,基于這個標識進行用戶授權。防止注入過濾用戶輸入每次請求做其他驗證中取加密后的用戶�����,中取用戶并加密�����,比較二者��,不同時攔截住���。
什么是Session�����?
Session在網絡應用中被稱為“會話控制”��。
Session存儲在服務器端��。
用戶A訪問網站B�����,A登錄網站后�,服務器會創(chuàng)建一個Session來保存用戶狀態(tài)和相關信息。每個Session對應一個標識符SessionID來標識用戶身份�。SessionID一般是由服務器以加密的方式寫到cookie中的,這樣用戶A登錄后����,訪問網站B中不同的網頁時請求中會帶上SessionID來標識他的身份�,以此實現一次登錄,訪問全網站�。(現在大多數站點采用基于cookie的session管理方式:用戶登陸成功后,設置一個唯一的cookie標識本次會話��,基于這個標識進行用戶授權����。只要請求中帶有這個標識,都認為是登錄態(tài)�。)
Session劫持
只要請求中帶有這個標識,都認為是登錄態(tài)
這就危險了,一旦你的標識被別人獲取��,你的Session就被別人劫持了����,他就可以用你的身份為所欲為。
最基本的cookie竊取方式:xss漏洞
攻擊者最簡單獲取他人cookie信息的方法是XSS攻擊����,想辦法注入js腳本到被攻擊者客戶端并執(zhí)行,通過執(zhí)行這個js腳本�,攻擊者在被攻擊者登錄后獲得了他的SessionID,通過在自己客戶端修改sessionId獲得了被攻擊者的身份����,后果不堪設想。����。。
防御方法
cookie設置為HttpOnly�����,js腳本就無法再獲取cookie�,也就無法得到你的會話標識�。
防止xss注入:過濾用戶輸入
每次請求做其他驗證:cookie中取加密后的用戶id��,session中取用戶id并加密��,比較二者���,不同時攔截住����。(個人理解)
文章版權歸作者所有��,未經允許請勿轉載,若此文章存在違規(guī)行為����,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.hztianpu.com/yun/94315.html
