Q

会话值是否可以被黑客入侵？

session

2010-09-26 41 views 11 likes

11

当我离开某个网站而未注销时，下次浏览该网站时，我发现我登录了该网站？该服务器如何为我的浏览器恢复会话值？在这个过程中是否有机会被黑客攻击？那个恢复的会话价值能被其他人盗用吗？请分享你的这个概念。在此先感谢会话值是否可以被黑客入侵？

2010-09-26 Masud Rahman

A

回答

11

在所有技术中，我知道基于Web的会话值存储在远程服务器上。所以，要破解你的会话值需要攻击远程服务器。您遇到的情况是您的会话标识符存储在Cookie中（一个session cookie），因此，当您重新打开浏览器时，Cookie将用于标识您并提供对远程会话的访问。通常会话cookie在到期之前会有一个短暂的TTL（生存时间）并将其注销，但如果不是，则明确注销应清除它。如果你真的担心你可以删除你的cookies。

2010-09-26 15:54:51

+1

普通会话不会被破解......它们被劫持（非常常见于WordPress cookies - 甚至没有服务器端会话）。 Cookie只是客户端会话存储。 – 2013-03-20 17:56:27

+0

'SESSION'变量是否被认为是安全的。如果有人登录，我会在会话范围中存储他们的ID以及他们的登录状态。使用该ID来查询数据并将数据返回给他们是安全的吗？我会想象如此，但不确定。我必须将他们的状态存储在数据库中，并仅将其用作状态吗？我会SESSION足够安全。 – Leeish 2015-02-12 15:20:55

5

你所看到的是一个cookie与浏览器一起存储以便保存该会话信息的结果。它可以被黑客入侵吗？取决于网站/应用程序，但不超过它可能是如果你没有关闭你的浏览器。

2010-09-26 15:48:56 Brad

1

它使用cookie，您的浏览器代表网站保留的文本字符串，可以是设置的时间限制，也可以是关闭浏览器。

注销，如果这是一个问题。很明显，如果别人在你之后使用同一台计算机，他们就可以使用你登录的网站。始终从公共可访问的计算机中明确注销。

2010-09-26 15:50:44

3

根据服务器是否检查IP地址尝试使用该令牌（可能是一个cookie，但不一定是）针对已登录的令牌，小偷可能会使用该cookie来访问您的帐户。

精心设计的网站不仅会导致会话超时，而且会限制它们到单个IP地址（和浏览器用户代理等）。

2010-09-26 16:00:42

+1

即使检查IP也不会使其免于被劫持。如果受害者和劫机者都位于同一台路由器后面，那么Web服务器会将它们视为来自同一台计算机（因为它们的公有IP将相同）。浏览器ID也不安全......他们很容易被欺骗。 – 2010-09-26 16:15:03

+0

当然。防止实时重放攻击很困难。建议验证IP地址等，但不应该依赖这些因为它们不安全。 – 2010-09-26 18:44:48

2

正如其他人已经注意到这是你的机器上的cookie。

“破解”的方式是访问您的机器并获取cookie的副本。或者在cookie发送到浏览器时获取cookie的副本。

为了防止这种情况你可以：

发送cookie到客户端通过HTTPS。
不要存储在磁盘上（没有超时cookie将被存储在内存中），饼干

锁定一个会话到一个IP地址，可能会出现问题，如果您的用户从网络与未来2个代理服务器。

2010-09-26 16:26:38

+0

感谢你们所有人。我还没有遇到任何问题。只是我一直在更新自己。 – 2010-09-26 17:03:27

0

你将不得不嗅闻他的流量并偷走他的饼干。然后，如果他没有注销，（因此服务器不会使cookie无效），您可以使用它们登录

2014-09-08 21:51:27

相关问题