62,248
社区成员
发帖
与我相关
我的任务
分享session可否被伪造?
session可否被伪造?
我看到一些例子中。比如一个论坛登陆中。如果判断密码正确/
就在session中设置一个
session = 用户名;
然后在后续的页面中不管进行什么操作。都只是读取这个用户名。不再进行密码验证了。
这样安全么?
难道不会有人伪造这个用户名?
我看到一些例子中。比如一个论坛登陆中。如果判断密码正确/
就在session中设置一个
session = 用户名;
然后在后续的页面中不管进行什么操作。都只是读取这个用户名。不再进行密码验证了。
这样安全么?
难道不会有人伪造这个用户名?
...全文
请发表友善的回复…
发表回复
ArLi2003 2003-07-21
- 打赏
- 举报
几年以来都是这么做的,放心用吧
A想模拟B的会语,但它无法知道B的session.id(这是随机的8位定长的十六进制数)
A想模拟B的会语,但它无法知道B的session.id(这是随机的8位定长的十六进制数)
boyyao 2003-07-21
- 打赏
- 举报
那么这样只设置一个用户名的session安全么?
panyee 2003-07-20
- 打赏
- 举报
你用win2000的网络监视器跟踪一下GET或POST的数据包就知道了, 有一个Session的值, 采用base64的编码方式
只要建立了连接,以后每次请求一个页面都发同一个id
其它就没什么特殊的了
只要建立了连接,以后每次请求一个页面都发同一个id
其它就没什么特殊的了
boyyao 2003-07-20
- 打赏
- 举报
asp.net在验证是否正确session的时候是按照session的值和id值来判断是否正确?
boyyao 2003-07-20
- 打赏
- 举报
session.id在一个提交报文的那个位置?是随机生成的么?
也就是说。以上session中只有一个用户名的方法是没关系的?也是安全的?
也就是说。以上session中只有一个用户名的方法是没关系的?也是安全的?
panyee 2003-07-20
- 打赏
- 举报
可以伪造,但它还有一个session.id你不知道
