session可否被伪造?

boyyao 2003-07-20 09:34:15
session可否被伪造?
我看到一些例子中。比如一个论坛登陆中。如果判断密码正确/
就在session中设置一个
session = 用户名;
然后在后续的页面中不管进行什么操作。都只是读取这个用户名。不再进行密码验证了。
这样安全么?
难道不会有人伪造这个用户名?
...全文
376 6 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
ArLi2003 2003-07-21
  • 打赏
  • 举报
回复
几年以来都是这么做的,放心用吧

A想模拟B的会语,但它无法知道B的session.id(这是随机的8位定长的十六进制数)
boyyao 2003-07-21
  • 打赏
  • 举报
回复
那么这样只设置一个用户名的session安全么?
panyee 2003-07-20
  • 打赏
  • 举报
回复
你用win2000的网络监视器跟踪一下GET或POST的数据包就知道了, 有一个Session的值, 采用base64的编码方式
只要建立了连接,以后每次请求一个页面都发同一个id

其它就没什么特殊的了
boyyao 2003-07-20
  • 打赏
  • 举报
回复
asp.net在验证是否正确session的时候是按照session的值和id值来判断是否正确?
boyyao 2003-07-20
  • 打赏
  • 举报
回复
session.id在一个提交报文的那个位置?是随机生成的么?
也就是说。以上session中只有一个用户名的方法是没关系的?也是安全的?
panyee 2003-07-20
  • 打赏
  • 举报
回复
可以伪造,但它还有一个session.id你不知道
WEB安全测试分类及防范测试方法 1 Web 应用程序布署环境测试 2 1.1HTTP 请求引发漏洞的测试 2 1.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试 2 2 应用程序测试 3 2.1 SQL 注入漏洞测试 3 2.1.1 SQL注入漏洞攻击实现原理 3 2.1.2 SQL注入漏洞防范措施 4 2.1.3 SQL注入漏洞检测方法 5 2.2 表单漏洞测试 6 2.2.1 表单漏洞实现原理 6 2.2.2 表单漏洞防范措施 6 2.2.3 表单漏洞检测方法 6 2.3 Cookie欺骗漏洞测试 8 2.3.1 Cookie欺骗实现原理 8 2.3.2 Cookie欺骗防范措施 8 2.3.3 Cookie欺骗监测方法 9 2.4 用户身份验证测试 9 2.4.1 用户身份验证漏洞防范措施 9 2.4.2 用户身份验证检测方法 9 2.5 文件操作漏洞测试 9 2.5.1 文件操作漏洞实现原理 9 2.5.2 文件操作漏洞防范措施 10 2.5.3 文件操作漏洞检测方法 10 2.6 Session 测试 11 2.6.1 客户端对服务器端的欺骗攻击 11 2.6.2直接对服务器端的欺骗攻击 11 2.6.3 Session漏洞检测方法 12 2.7 跨网站脚本(XSS)漏洞测试 13 2.7.1 跨网站脚本(XSS)漏洞实现原理 13 2.7.2 跨网站脚本(XSS)漏洞防范措施 13 2.7.3 跨网站脚本(XSS)漏洞测试方法 14 2.8 命令注射漏洞测试 14 2.9 日志文件测试 14 2.10 访问控制策略测试 14 2.10.1 访问控制策略测试方法 14 3 数据库问题测试 15 3.1 数据库名称和存放位置安全检测 15 3.2 数据库本身的安全检测 15 3.3 数据使用时的一致性和完整性测试 15 4 容错测试 15 4.1 容错方案及方案一致性测试 16 4.2 接口容错测试 16 4.3 压力测试 16

62,248

社区成员

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧