Q

會話值是否可以被黑客入侵？

session

2010-09-26 44 views 11 likes

11

當我離開某個網站而未註銷時，下次瀏覽該網站時，我發現我登錄了該網站？該服務器如何爲我的瀏覽器恢復會話值？在這個過程中是否有機會被黑客攻擊？那個恢復的會話價值能被其他人盜用嗎？請分享你的這個概念。在此先感謝會話值是否可以被黑客入侵？

2010-09-26 Masud Rahman

A

回答

11

在所有技術中，我知道基於Web的會話值存儲在遠程服務器上。所以，要破解你的會話值需要攻擊遠程服務器。您遇到的情況是您的會話標識符存儲在Cookie中（一個session cookie），因此，當您重新打開瀏覽器時，Cookie將用於標識您並提供對遠程會話的訪問。通常會話cookie在到期之前會有一個短暫的TTL（生存時間）並將其註銷，但如果不是，則明確註銷應清除它。如果你真的擔心你可以刪除你的cookies。

2010-09-26 15:54:51

+1

普通會話不會被破解......它們被劫持（非常常見於WordPress cookies - 甚至沒有服務器端會話）。 Cookie只是客戶端會話存儲。 – 2013-03-20 17:56:27

+0

'SESSION'變量是否被認爲是安全的。如果有人登錄，我會在會話範圍中存儲他們的ID以及他們的登錄狀態。使用該ID來查詢數據並將數據返回給他們是安全的嗎？我會想象如此，但不確定。我必須將他們的狀態存儲在數據庫中，並僅將其用作狀態嗎？我會SESSION足夠安全。 – Leeish 2015-02-12 15:20:55

5

你所看到的是一個cookie與瀏覽器一起存儲以便保存該會話信息的結果。它可以被黑客入侵嗎？取決於網站/應用程序，但不超過它可能是如果你沒有關閉你的瀏覽器。

2010-09-26 15:48:56 Brad

1

它使用cookie，您的瀏覽器代表網站保留的文本字符串，可以是設置的時間限制，也可以是關閉瀏覽器。

註銷，如果這是一個問題。很明顯，如果別人在你之後使用同一臺計算機，他們就可以使用你登錄的網站。始終從公共可訪問的計算機中明確註銷。

2010-09-26 15:50:44

3

根據服務器是否檢查IP地址嘗試使用該令牌（可能是一個cookie，但不一定是）針對已登錄的令牌，小偷可能會使用該cookie來訪問您的帳戶。

精心設計的網站不僅會導致會話超時，而且會限制它們到單個IP地址（和瀏覽器用戶代理等）。

2010-09-26 16:00:42

+1

即使檢查IP也不會使其免於被劫持。如果受害者和劫機者都位於同一臺路由器後面，那麼Web服務器會將它們視爲來自同一臺計算機（因爲它們的公有IP將相同）。瀏覽器ID也不安全......他們很容易被欺騙。 – 2010-09-26 16:15:03

+0

當然。防止實時重放攻擊很困難。建議驗證IP地址等，但不應該依賴這些因爲它們不安全。 – 2010-09-26 18:44:48

2

正如其他人已經注意到這是你的機器上的cookie。

「破解」的方式是訪問您的機器並獲取cookie的副本。或者在cookie發送到瀏覽器時獲取cookie的副本。

爲了防止這種情況你可以：

發送cookie到客戶端通過HTTPS。
不要存儲在磁盤上（沒有超時cookie將被存儲在內存中），餅乾

鎖定一個會話到一個IP地址，可能會出現問題，如果您的用戶從網絡與未來2個代理服務器。

2010-09-26 16:26:38

+0

感謝你們所有人。我還沒有遇到任何問題。只是我一直在更新自己。 – 2010-09-26 17:03:27

0

你將不得不嗅聞他的流量並偷走他的餅乾。然後，如果他沒有註銷，（因此服務器不會使cookie無效），您可以使用它們登錄

2014-09-08 21:51:27

相關問題