YAN_HUAXIANGMO 2017-07-23 12:08 采纳率: 100%
浏览 1017
已采纳

通过session入侵网站的可能性

最近在想,竟然我登录一个网站后是通过session记录我的用户id的,那么,如果我知道了登录后的网站的网址,我是不是可以通过自己设定一个session值,比如setAttribute(“username”,“123”),直接跳转访问登录后的页面,服务器对session进行判断和取值(假如这里他也是getAttribute("username")),然后你就相当于跳过用户密码验证直接登录了网站?ps:这里我不太清楚服务器分配给客户端session对象的具体实现,我也是假设我们不在同一个服务器,如果不行,那么在同一个服务器下的不同项目下的网页通过这样的办法能达到我上面所说的入侵吗,或则说通过修改客户端cookie能不能达到效果呢?有大神解释一下吗,顺便把我的错误思路纠正

  • 写回答

4条回答 默认 最新

  • gerner00 2017-07-24 03:26
    关注

    session是会话,服务器自己保存的,给客户端的是sessionid,这个id存在cookie中。
    访问到服务器时,服务器根据id找session,找不到就另外创建一个新的。
    你改cookie只能改id,改id,服务器就可能重新生产一个session,除非刚好碰到别人的访问sessionid,有这个概率随你便买彩票发财了

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(3条)

报告相同问题?

  • session的基本原理及安全性
    2022-07-28 18:16
    深夜程序猿的博客 好吧,还是说点白话吧,在客户端记录的其实是一个sessionid,在服务器端记录的是一个key-value形式的数据结构,这里的key肯定是指sessionid了,value就代表session的详细内容。如果没有问题,我就不在这里啰嗦了。你...
  • Cookie和Session的区别(面试必备)
    2019-09-17 20:40
    秋风不识路的博客 简单的说,当你登陆一个网站的时候,如果web服务器端使用的是session,那么所有的数据都保存在服务器上,客户端每次请求服务器的时候会发送当前会话sessionid,服务器根据当前sessionid判断相应的用户数据标志,...
  • session一致性问题及token实现
    2019-07-14 21:42
    木子松的猫的博客 session一致性问题解决方法 基于IP-hash处在均衡 服务器session复制 session统一缓冲 三种session一致性问题解决方法的适用情况 session的不足 token token的实现原理 token实现思路 实践 cookie出现之前 ...
  • 前端网络基础 - Session
    2022-03-15 20:11
    程序员阿甘的博客 Cookie实现身份认证的简单方案 基于Cookie实现在浏览器端保存服务器端生成的用户登录状态,并且浏览器端每次请求服务器都会携带用户登录状态cookie。 那么 登录状态cookie ...Cookie的安全性 cookie由于保存在浏...
  • Remote Access Session-开源
    2021-07-06 03:08
    远程访问会话(Remote Access Session)是信息安全领域中一种用于检测和分析系统完整性的工具。它的设计目的是模拟潜在的远程入侵行为,以便于系统管理员能够评估并加固他们的网络安全防御。这款名为"raccess-0.6"的...
  • web开发中session、cookie的区别、安全性
    2018-10-26 19:22
    EUNC的博客 一、为什么session,cookie经常会有人提到 做web开发的人基本上都会用session和cookie,但是仅仅只是会用,并不知道session和cookie的真正的工作原理,都只是凭着感觉来猜测。web开发者只要利用它们来完成工作就行了...
  • 实现Tomcat分布式Session共享的配置详解
    2025-05-26 22:27
    肖宏辉的博客 通过这种方式,所有服务器节点上的session数据都被统一存储在Redis中,实现了session数据的集中管理,并且可以确保数据的一致性和高可用性。使用Redis进行session管理,不仅可以跨多个服务实例共享session数据,还能...
  • session的根本原理及安全性
    2014-05-25 09:47
    白一梓的博客 yunnysunny 退出账号 当前文档 删除文档导出 Markdown导出 PDF ...session的安全性对于vireio若干问题的解答直播登录验证文档关于淘宝同学接入的若干问题flashvar参数设置flashvar参数设置
  • ASP网站CMS程序源码——随易典全站系统实例开发.zip
    2021-10-17 22:31
    7. **模板引擎**:随易典全站系统可能采用了模板引擎来分离内容和设计,这样可以方便地更改网站外观而无需修改后端代码。理解模板引擎的工作原理,可以让你更好地调整网站样式。 8. **权限与角色管理**:一个成熟的...
  • 浅谈Session与Cookie的区别与联系
    2016-07-14 21:02
    dwl假行僧的博客 一、Session的概念Session 是存放在服务器端的,类似于Session结构来存放用户数据,当浏览器 第一次发送请求时,服务器自动生成了一个Session和一个Session ID用来唯一标识这个Session,并将其通过响应发送到浏览器...
  • 没有解决我的问题, 去提问