當我離開某個網站而未註銷時,下次瀏覽該網站時,我發現我登錄了該網站?該服務器如何爲我的瀏覽器恢復會話值?在這個過程中是否有機會被黑客攻擊?那個恢復的會話價值能被其他人盜用嗎?請分享你的這個概念。 在此先感謝會話值是否可以被黑客入侵?
回答
在所有技術中,我知道基於Web的會話值存儲在遠程服務器上。所以,要破解你的會話值需要攻擊遠程服務器。您遇到的情況是您的會話標識符存儲在Cookie中(一個session cookie),因此,當您重新打開瀏覽器時,Cookie將用於標識您並提供對遠程會話的訪問。通常會話cookie在到期之前會有一個短暫的TTL(生存時間)並將其註銷,但如果不是,則明確註銷應清除它。如果你真的擔心你可以刪除你的cookies。
你所看到的是一個cookie與瀏覽器一起存儲以便保存該會話信息的結果。它可以被黑客入侵嗎?取決於網站/應用程序,但不超過它可能是如果你沒有關閉你的瀏覽器。
它使用cookie,您的瀏覽器代表網站保留的文本字符串,可以是設置的時間限制,也可以是關閉瀏覽器。
註銷,如果這是一個問題。很明顯,如果別人在你之後使用同一臺計算機,他們就可以使用你登錄的網站。始終從公共可訪問的計算機中明確註銷。
根據服務器是否檢查IP地址嘗試使用該令牌(可能是一個cookie,但不一定是)針對已登錄的令牌,小偷可能會使用該cookie來訪問您的帳戶。
精心設計的網站不僅會導致會話超時,而且會限制它們到單個IP地址(和瀏覽器用戶代理等)。
即使檢查IP也不會使其免於被劫持。如果受害者和劫機者都位於同一臺路由器後面,那麼Web服務器會將它們視爲來自同一臺計算機(因爲它們的公有IP將相同)。瀏覽器ID也不安全......他們很容易被欺騙。 – 2010-09-26 16:15:03
當然。防止實時重放攻擊很困難。建議驗證IP地址等,但不應該依賴這些因爲它們不安全。 – 2010-09-26 18:44:48
正如其他人已經注意到這是你的機器上的cookie。
「破解」的方式是訪問您的機器並獲取cookie的副本。或者在cookie發送到瀏覽器時獲取cookie的副本。
爲了防止這種情況你可以:
- 發送cookie到客戶端通過HTTPS。
- 不要存儲在磁盤上(沒有超時cookie將被存儲在內存中),餅乾
鎖定一個會話到一個IP地址,可能會出現問題,如果您的用戶從網絡與未來2個代理服務器。
感謝你們所有人。我還沒有遇到任何問題。只是我一直在更新自己。 – 2010-09-26 17:03:27
你將不得不嗅聞他的流量並偷走他的餅乾。然後,如果他沒有註銷,(因此服務器不會使cookie無效),您可以使用它們登錄
- 1. .htaccess文件是否可以被黑客入侵?
- 2. Google的GWT會被黑客入侵嗎?
- 3. Facebook應用程序被入侵/被黑客入侵
- 4. 檢測iOS應用是否被黑客入侵
- 5. Apache服務的純HTML網站可以被黑客入侵嗎?
- 6. Android應用可以被黑客入侵嗎?
- 7. Base64代碼作爲背景圖像可以被黑客入侵?
- 8. Windows手機的IsolatedStorage可以被黑客入侵嗎?
- 9. 黑客入侵ptx
- 10. SmartWatch黑客入侵
- 11. Joomla網站被黑客入侵?
- 12. 的WordPress網站被黑客入侵AGAIN
- 13. Joomla網站被黑客入侵了嗎?
- 14. 登錄不斷被黑客入侵
- 15. WordPress網站被黑客入侵
- 16. Joomla網站被黑客入侵
- 17. 是否可以驗證SagePay的回調以防止黑客入侵?
- 18. Google Play IAP黑客入侵?
- 19. 這是一個JavaScript黑客入侵嗎?
- 20. 智能手機GPS有多可靠?它可以被黑客入侵嗎?
- 21. Web表單可能被黑客入侵嗎?
- 22. 清漆緩存可能被黑客入侵嗎?
- 23. 奇怪scp的行爲,不知道我的電腦是否被黑客入侵?
- 24. jQuery AJAX添加/編輯/刪除操作可以被黑客入侵?
- 25. CentOS被黑客入侵,crontab已被修改
- 26. PHP中的error_reporting(0)是否阻止黑客入侵
- 27. 服務器被黑客入侵。如何進入wordpress
- 28. MySql數據庫被黑客入侵,未注入
- 29. 被黑客入侵。黑客如何獲得用戶的個人URL(標記)?
- 30. Flash黑客入侵/攔截/發送
普通會話不會被破解......它們被劫持(非常常見於WordPress cookies - 甚至沒有服務器端會話)。 Cookie只是客戶端會話存儲。 – 2013-03-20 17:56:27
'SESSION'變量是否被認爲是安全的。如果有人登錄,我會在會話範圍中存儲他們的ID以及他們的登錄狀態。使用該ID來查詢數據並將數據返回給他們是安全的嗎?我會想象如此,但不確定。我必須將他們的狀態存儲在數據庫中,並僅將其用作狀態嗎?我會SESSION足夠安全。 – Leeish 2015-02-12 15:20:55