7
我已經閱讀過關於會話固定的內容,並且從我所瞭解的內容中強制用戶使用攻擊者會話。它是否正確?你能舉個例子說明這可能如何冒犯用戶嗎?你能舉一個會話固定攻擊的例子嗎?
A
回答
28
我通常不喜歡發佈鏈接到維基百科,但這裏要a very good explanation on Wikipedia的鏈接...
下面是它的肉:
Alice有一個帳戶,在銀行http://unsafe/ 。不幸的是,愛麗絲並不是非常安全的人。
馬洛裏是出去從銀行得到愛麗絲的錢。
愛麗絲對馬洛裏有合理的信任度,並將訪問馬洛裏寄給她的鏈接。
- Mallory已確定http://unsafe/接受任何會話標識符,從查詢字符串接受會話標識符並且沒有安全驗證。因此http://unsafe/不安全。
- Mallory向Alice發送一封電子郵件:「嘿,檢查一下,我們銀行有一個很酷的新賬戶彙總功能,http://unsafe/?SID=I_WILL_KNOW_THE_SID」。馬洛裏試圖將SID固定到I_WILL_KNOW_THE_SID。
- 愛麗絲感興趣並訪問http://unsafe/?SID=I_WILL_KNOW_THE_SID。通常的登錄屏幕彈出,Alice登錄。
- Mallory訪問http://unsafe/?SID=I_WILL_KNOW_THE_SID,現在無限制地訪問Alice的帳戶。
相關問題
- 1. 你能舉一個C++堆棧溢出的例子嗎?
- 2. 這是一個SQL注入攻擊的例子嗎?
- 3. 你可以舉一個如何使用PHP __method__的例子嗎?
- 4. 會話劫持或攻擊?
- 5. 簡單的會話固定攻擊本地主機進行測試
- 6. ScriptResource.axd攻擊有可能嗎?
- 7. 會話固定
- 8. 你能用javascript改變一個php會話變量嗎?
- 9. 這些關於會話固定的例子是什麼意思?
- 10. PHP會話例如固定和修復
- 11. 一個跨站點腳本攻擊的簡單例子
- 12. CSRF攻擊:你能用javascript來修改用戶代理頭嗎?
- 13. 如何在oracle中使用多列生成hashkey?你能舉個例子嗎?
- 14. 例子/ PHP中類型的XSS攻擊
- 15. 你如何防止特定CSRF攻擊
- 16. PHP防止會話黑客攻擊
- 17. 我可以通過使用會話阻止XSS攻擊嗎?
- 18. 舉一個例子:groovyc --sourcepath
- 19. 會議和可能的黑客攻擊
- 20. 這會消除大多數攻擊的功能嗎?
- 21. 你可以擴展一個枚舉嗎?
- 22. 你能解釋一個實例/案例的Docker嗎?
- 23. 會話固定在cookies中會話固定
- 24. 您能爲我舉個正則表達式的例子嗎?
- 25. 我可以舉個例子嗎?
- 26. 可能的攻擊
- 27. 你能給我一個使用不涉及集合,列表,枚舉器或IEnumerable的謂詞的好例子嗎?
- 28. 你能解釋一下Haskell List Comprehension的例子嗎?
- 29. 你能解釋這兩個javascript的例子嗎?
- 30. 你能解釋一下這個枚舉聲明嗎?
這是一個非常好的答案 – Tony 2009-07-13 21:16:01