session可否被伪造?

boyyao 2003-07-20 09:34:15
session可否被伪造?
我看到一些例子中。比如一个论坛登陆中。如果判断密码正确/
就在session中设置一个
session = 用户名;
然后在后续的页面中不管进行什么操作。都只是读取这个用户名。不再进行密码验证了。
这样安全么?
难道不会有人伪造这个用户名?
...全文
317 6 打赏 收藏 举报
写回复
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
ArLi2003 2003-07-21
  • 打赏
  • 举报
回复
几年以来都是这么做的,放心用吧

A想模拟B的会语,但它无法知道B的session.id(这是随机的8位定长的十六进制数)
boyyao 2003-07-21
  • 打赏
  • 举报
回复
那么这样只设置一个用户名的session安全么?
panyee 2003-07-20
  • 打赏
  • 举报
回复
你用win2000的网络监视器跟踪一下GET或POST的数据包就知道了, 有一个Session的值, 采用base64的编码方式
只要建立了连接,以后每次请求一个页面都发同一个id

其它就没什么特殊的了
boyyao 2003-07-20
  • 打赏
  • 举报
回复
asp.net在验证是否正确session的时候是按照session的值和id值来判断是否正确?
boyyao 2003-07-20
  • 打赏
  • 举报
回复
session.id在一个提交报文的那个位置?是随机生成的么?
也就是说。以上session中只有一个用户名的方法是没关系的?也是安全的?
panyee 2003-07-20
  • 打赏
  • 举报
回复
可以伪造,但它还有一个session.id你不知道
相关推荐
发帖
.NET社区

6.1w+

社区成员

.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
帖子事件
创建了帖子
2003-07-20 09:34
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。