当我离开某个网站而未注销时,下次浏览该网站时,我发现我登录了该网站?该服务器如何为我的浏览器恢复会话值?在这个过程中是否有机会被黑客攻击?那个恢复的会话价值能被其他人盗用吗?请分享你的这个概念。 在此先感谢会话值是否可以被黑客入侵?
回答
在所有技术中,我知道基于Web的会话值存储在远程服务器上。所以,要破解你的会话值需要攻击远程服务器。您遇到的情况是您的会话标识符存储在Cookie中(一个session cookie),因此,当您重新打开浏览器时,Cookie将用于标识您并提供对远程会话的访问。通常会话cookie在到期之前会有一个短暂的TTL(生存时间)并将其注销,但如果不是,则明确注销应清除它。如果你真的担心你可以删除你的cookies。
你所看到的是一个cookie与浏览器一起存储以便保存该会话信息的结果。它可以被黑客入侵吗?取决于网站/应用程序,但不超过它可能是如果你没有关闭你的浏览器。
它使用cookie,您的浏览器代表网站保留的文本字符串,可以是设置的时间限制,也可以是关闭浏览器。
注销,如果这是一个问题。很明显,如果别人在你之后使用同一台计算机,他们就可以使用你登录的网站。始终从公共可访问的计算机中明确注销。
根据服务器是否检查IP地址尝试使用该令牌(可能是一个cookie,但不一定是)针对已登录的令牌,小偷可能会使用该cookie来访问您的帐户。
精心设计的网站不仅会导致会话超时,而且会限制它们到单个IP地址(和浏览器用户代理等)。
即使检查IP也不会使其免于被劫持。如果受害者和劫机者都位于同一台路由器后面,那么Web服务器会将它们视为来自同一台计算机(因为它们的公有IP将相同)。浏览器ID也不安全......他们很容易被欺骗。 – 2010-09-26 16:15:03
当然。防止实时重放攻击很困难。建议验证IP地址等,但不应该依赖这些因为它们不安全。 – 2010-09-26 18:44:48
正如其他人已经注意到这是你的机器上的cookie。
“破解”的方式是访问您的机器并获取cookie的副本。或者在cookie发送到浏览器时获取cookie的副本。
为了防止这种情况你可以:
- 发送cookie到客户端通过HTTPS。
- 不要存储在磁盘上(没有超时cookie将被存储在内存中),饼干
锁定一个会话到一个IP地址,可能会出现问题,如果您的用户从网络与未来2个代理服务器。
感谢你们所有人。我还没有遇到任何问题。只是我一直在更新自己。 – 2010-09-26 17:03:27
你将不得不嗅闻他的流量并偷走他的饼干。然后,如果他没有注销,(因此服务器不会使cookie无效),您可以使用它们登录
- 1. .htaccess文件是否可以被黑客入侵?
- 2. Google的GWT会被黑客入侵吗?
- 3. Facebook应用程序被入侵/被黑客入侵
- 4. 检测iOS应用是否被黑客入侵
- 5. Apache服务的纯HTML网站可以被黑客入侵吗?
- 6. Android应用可以被黑客入侵吗?
- 7. Base64代码作为背景图像可以被黑客入侵?
- 8. Windows手机的IsolatedStorage可以被黑客入侵吗?
- 9. 黑客入侵ptx
- 10. SmartWatch黑客入侵
- 11. Joomla网站被黑客入侵?
- 12. 的WordPress网站被黑客入侵AGAIN
- 13. Joomla网站被黑客入侵了吗?
- 14. 登录不断被黑客入侵
- 15. WordPress网站被黑客入侵
- 16. Joomla网站被黑客入侵
- 17. 是否可以验证SagePay的回调以防止黑客入侵?
- 18. Google Play IAP黑客入侵?
- 19. 这是一个JavaScript黑客入侵吗?
- 20. 智能手机GPS有多可靠?它可以被黑客入侵吗?
- 21. Web表单可能被黑客入侵吗?
- 22. 清漆缓存可能被黑客入侵吗?
- 23. 奇怪scp的行为,不知道我的电脑是否被黑客入侵?
- 24. jQuery AJAX添加/编辑/删除操作可以被黑客入侵?
- 25. CentOS被黑客入侵,crontab已被修改
- 26. PHP中的error_reporting(0)是否阻止黑客入侵
- 27. 服务器被黑客入侵。如何进入wordpress
- 28. MySql数据库被黑客入侵,未注入
- 29. 被黑客入侵。黑客如何获得用户的个人URL(标记)?
- 30. Flash黑客入侵/拦截/发送
普通会话不会被破解......它们被劫持(非常常见于WordPress cookies - 甚至没有服务器端会话)。 Cookie只是客户端会话存储。 – 2013-03-20 17:56:27
'SESSION'变量是否被认为是安全的。如果有人登录,我会在会话范围中存储他们的ID以及他们的登录状态。使用该ID来查询数据并将数据返回给他们是安全的吗?我会想象如此,但不确定。我必须将他们的状态存储在数据库中,并仅将其用作状态吗?我会SESSION足够安全。 – Leeish 2015-02-12 15:20:55