YAN_HUAXIANGMO
YAN_HUAXIANGMO
采纳率70%
2017-07-23 12:08 阅读 1.0k
已采纳

通过session入侵网站的可能性

2

最近在想,竟然我登录一个网站后是通过session记录我的用户id的,那么,如果我知道了登录后的网站的网址,我是不是可以通过自己设定一个session值,比如setAttribute(“username”,“123”),直接跳转访问登录后的页面,服务器对session进行判断和取值(假如这里他也是getAttribute("username")),然后你就相当于跳过用户密码验证直接登录了网站?ps:这里我不太清楚服务器分配给客户端session对象的具体实现,我也是假设我们不在同一个服务器,如果不行,那么在同一个服务器下的不同项目下的网页通过这样的办法能达到我上面所说的入侵吗,或则说通过修改客户端cookie能不能达到效果呢?有大神解释一下吗,顺便把我的错误思路纠正

  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 复制链接分享

4条回答 默认 最新

  • 已采纳
    gerner00 gerner00 2017-07-24 03:26

    session是会话,服务器自己保存的,给客户端的是sessionid,这个id存在cookie中。
    访问到服务器时,服务器根据id找session,找不到就另外创建一个新的。
    你改cookie只能改id,改id,服务器就可能重新生产一个session,除非刚好碰到别人的访问sessionid,有这个概率随你便买彩票发财了

    点赞 1 评论 复制链接分享
  • zy841958835 cloudyzhao 2017-07-24 00:52

    第一服务端的session一般是权限是无法访问到,就算能拿到session结构,做了一个相同的你也不会有一个远程接口供你去set session到服务端的内存中

    点赞 1 评论 复制链接分享
  • Mr514163691 BobCoderss 2017-07-24 02:11

    浏览器端和服务器端采用的是http无状态通讯,session是用来保持客户端通讯状态的方法。而客户端和服务器端联系是通过唯一标识:sessionid来的。
    而sessionid是通过cookie和GET的方式将sessionid传到后台的。如果你客户端传的sessionid和服务器端保存的sessionid不同,那么是无法解析的。

    点赞 1 评论 复制链接分享
  • YAN_HUAXIANGMO YAN_HUAXIANGMO 2017-09-09 06:45

    感谢楼上几位回答,答案都对我有帮助,没有及时处理抱歉!

    点赞 评论 复制链接分享

相关推荐