YAN_HUAXIANGMO 2017-07-23 12:08 采纳率: 100%
浏览 1017
已采纳

通过session入侵网站的可能性

最近在想,竟然我登录一个网站后是通过session记录我的用户id的,那么,如果我知道了登录后的网站的网址,我是不是可以通过自己设定一个session值,比如setAttribute(“username”,“123”),直接跳转访问登录后的页面,服务器对session进行判断和取值(假如这里他也是getAttribute("username")),然后你就相当于跳过用户密码验证直接登录了网站?ps:这里我不太清楚服务器分配给客户端session对象的具体实现,我也是假设我们不在同一个服务器,如果不行,那么在同一个服务器下的不同项目下的网页通过这样的办法能达到我上面所说的入侵吗,或则说通过修改客户端cookie能不能达到效果呢?有大神解释一下吗,顺便把我的错误思路纠正

  • 写回答

4条回答 默认 最新

  • gerner00 2017-07-24 03:26
    关注

    session是会话,服务器自己保存的,给客户端的是sessionid,这个id存在cookie中。
    访问到服务器时,服务器根据id找session,找不到就另外创建一个新的。
    你改cookie只能改id,改id,服务器就可能重新生产一个session,除非刚好碰到别人的访问sessionid,有这个概率随你便买彩票发财了

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(3条)

报告相同问题?

  • 通过session入侵网站可能性
    2017-07-23 12:08
    回答 4 已采纳 session是会话,服务器自己保存的,给客户端的是sessionid,这个id存在cookie中。 访问到服务器时,服务器根据id找session,找不到就另外创建一个新的。 你改cookie只
  • 用户访问网站时的session问题 java
    2021-08-28 19:03
    回答 1 已采纳 后者会覆盖前者,这种回归到你写代码是程序是怎么运行,JavaScript 是单线程,session 想当于是全局变量,你后面值的更改,都会影响其全局变量的值
  • jsp通过cookie或者session完成购物车功能 java
    2017-10-25 07:27
    回答 3 已采纳 ${sessionScope.username} 或者${sessionScope.userId} 把这个传给后台 后台queryshopcarbyid 把购物车需要的数据爬出来
  • session的基本原理及安全性
    2022-07-28 18:16
    深夜程序猿的博客 好吧,还是说点白话吧,在客户端记录的其实是一个sessionid,在服务器端记录的是一个key-value形式的数据结构,这里的key肯定是指sessionid了,value就代表session的详细内容。如果没有问题,我就不在这里啰嗦了。你...
  • 使用spring-session如何通过sessionId直接获取session spring
    2017-12-19 11:00
    回答 4 已采纳 参考:https://www.cnblogs.com/blog411032/p/5909095.html
  • 新手 js jsp session java javascript
    2018-11-01 03:42
    回答 3 已采纳 session 操作前,这里写 @ 什么鬼啊 ``` ```
  • java单点登录session的问题 java
    2018-08-06 03:12
    回答 1 已采纳 1、session的目的是为了在服务器端维护用户的信息,为了避免大量用户接入,而每个用户访问时长都很短,这才给session添加超时的约束。基于这个前提,session一般设计的时候可以不需要每次操作
  • Cookie和Session的区别(面试必备)
    2019-09-17 20:40
    秋风不识路的博客 简单的说,当你登陆一个网站的时候,如果web服务器端使用的是session,那么所有的数据都保存在服务器上,客户端每次请求服务器的时候会发送当前会话sessionid,服务器根据当前sessionid判断相应的用户数据标志,...
  • 通过$ _SESSION将变量传递到下一页 php
    2015-09-06 12:18
    回答 1 已采纳 After using header() function, you shall use exit; function. More details: PHP session destroyed /
  • 新手javaee session java-ee
    2018-11-25 08:05
    回答 3 已采纳 你第一次请求网站,浏览器不知道cookie,所以不会带任何cookie,此时服务器判断,你客户端没有cookie,它就视作一个新的会话。 然后它会在服务器的内存里建立一个session,其中的id返
  • 如何通过Session查找用户ID和国家/地区 mysql php
    2015-06-03 13:50
    回答 1 已采纳 foreach($db->query("SELECT country FROM uyeler WHERE mail ='{$_SESSION['kullanici']}'") as $row
  • session一致性问题及token实现
    2019-07-14 21:42
    木子松的猫的博客 session一致性问题解决方法 基于IP-hash处在均衡 服务器session复制 session统一缓冲 三种session一致性问题解决方法的适用情况 session的不足 token token的实现原理 token实现思路 实践 cookie出现之前 ...
  • .net core View获取Session 前端
    2017-09-11 07:03
    回答 3 已采纳 可以用控制器拦截,每一个请求都会判断是否登陆,未登陆则返回首页这样 ``` 一个最基本的控制器拦截,就是当我们直接通过在地址栏输入访问路由地址时,首先应该判断用户是否已经登录,如果没有登录应
  • 前端网络基础 - Session
    2022-03-15 20:11
    伏城之外的博客 Cookie实现身份认证的简单方案 基于Cookie实现在浏览器端保存服务器端生成的用户登录状态,并且浏览器端每次请求服务器都会携带用户登录状态cookie。 那么 登录状态cookie ...Cookie的安全性 cookie由于保存在浏...
  • session的安全性
    2018-05-27 16:19
    perfectsorrow的博客 通过探讨session的实现方式来发掘一些可能你之前不知道的有趣的事情。为了记录session,在客户端和服务器端都要保存数据,客户端记录一个标记,服务器端不但存储了这个标记同时还存储了这个标记映射的数据。好吧,...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 鸿业暖通修改详细负荷时闪退
  • ¥15 有偿求码,CNN+LSTM实现单通道脑电信号EEG的睡眠分期评估
  • ¥15 没有证书,nginx怎么反向代理到只能接受https的公网网站
  • ¥50 成都蓉城足球俱乐部小程序抢票
  • ¥15 yolov7训练自己的数据集
  • ¥15 esp8266与51单片机连接问题(标签-单片机|关键词-串口)(相关搜索:51单片机|单片机|测试代码)
  • ¥15 电力市场出清matlab yalmip kkt 双层优化问题
  • ¥30 ros小车路径规划实现不了,如何解决?(操作系统-ubuntu)
  • ¥20 matlab yalmip kkt 双层优化问题
  • ¥15 如何在3D高斯飞溅的渲染的场景中获得一个可控的旋转物体