社区
ASP
帖子详情
我用session 做的后台验证,有方法破解吗?
andy1024
2004-11-29 09:54:37
我的asp网站 有个后台,用的是sesison 验证,好像有方法破解,那位给介绍下!
...全文
1296
81
打赏
收藏
我用session 做的后台验证,有方法破解吗?
我的asp网站 有个后台,用的是sesison 验证,好像有方法破解,那位给介绍下!
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
81 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
ruyunluck
2004-12-10
打赏
举报
回复
听课
gu1dai
2004-12-10
打赏
举报
回复
你肯定是管理员登陆的验证页面有漏洞
或者是别的什么登陆页面有漏洞
注入漏洞。
怎么可能是session
cookies倒有可能
look4sword
2004-12-10
打赏
举报
回复
肯定不关SESSION的问题了,SESSION存在服务器,是在服务器生成的,从外面是传不进去的.
DARKNESSFALL
2004-12-10
打赏
举报
回复
只想关注一下一些人说的获得当前session的软件是什么?什么地方有下的?
迷惑ing.......
icefire988
2004-12-09
打赏
举报
回复
应该不是session的问题!我感觉是sql入注
slash_net
2004-12-09
打赏
举报
回复
<%
if session("username")="" then
response.redirect "index.asp"
end if
%>
这个究竟有什么问题啊?????
mayi545
2004-12-09
打赏
举报
回复
用dns欺骗可以吧,用另一台机子伪装成攻击的服务器。。然后在那台机子上生成sesison的名称与你的名称相同,然后再连接要攻击的网站。我自己以前也试过,不知道准确不
Peterwby
2004-12-09
打赏
举报
回复
感谢楼上说的这么清楚,借鉴借鉴~~
qlinfo
2004-12-08
打赏
举报
回复
再补充一下,用ASP向客户端写COOKIE的时候,如果不写生存期,默认的生存期限和生存方式和SESSION是一样的,都是保存在浏览器的内存中。
qlinfo
2004-12-08
打赏
举报
回复
如果进行验证才是安全的?
1、两个人不能同时使用同一个账户登录。在登录时,先保存登录时的IP,在后面的每次访问中,都要检查这个帐户的登录IP是否一致,如果不一致,就有可能是盗用了Session。
2、检查是否从从本网站中的其它页面进入这个页面的,如果不是,就有可能是用软件在猜测。
3、一定要有日志和网站访问统计功能。出了问题,找它,有可能会找出原因来。
4、还没想到这么多。。。
qlinfo
2004-12-08
打赏
举报
回复
大家听我来说几句。
关于session的破解,首先要理解什么是session,以及它是如何工作的。
session是在服务器上创建的用来临时存放数据的一个集合,它有一定的生存期限,一般默认为20分钟。
session值的传递过程是这样的:
在首次启动session的时候,ASP就会在服务器的内存中创建一个会话,如下所示:
会话(1):BHPMPLKCBOKNJAJBBONMFBPI;
UserName="aaa"
Sex="男"
Age=22
会话(2):KNJAJBBONMFBPIBHPMPLKCBO;
UserName="bbb"
Sex="女"
Age=20
......
同时ASP也会把session值(如:"BHPMPLKCBOKNJAJBBONMFBPI")写入到客户端 ,这个值只存在于内存中,是不写入硬盘的。
当在这个页面上点击其它链接的时候,浏览器就会把这个session值再发回服务器,ASP根据客户端提交来的这个session值,查它在内存中创建的这个表格,如果没有找到(也有可能是生存期已过)就会认为它是空的,找到之后,你的Session("UserName")就取到值了。
这个session这个值是由服务器随机创建的24位字母,而且还有生存期限,所以这个值被猜到的可能性是很小的,我们可以认为它是安全的。
那被破解的可能性只有 传输途中 和 客户端。
我们知道,浏览器向服务器发送数据如果不是采用https协议的话,使用的就是明文传输。
任何采用的明文传输数据都有可能被黑客截获---->危险!!!
在客户端这个值只存在于内存中,所以,只有使用特殊软件才能从内存中得到这个session的值的,而且得到这个值就不困难,只要在向服务器发送这个值的时候截获它就可以。
电脑中了木马、病毒---->危险!!!
Peterwby
2004-12-08
打赏
举报
回复
-----------------------------
那就要看后台那种判断是否已登录的语句写的安不安全了。如果是这么写:
<%
if session("username")="" then
response.redirect "index.asp"
end if
%>
之类的话,嘿嘿...
-----------------------------
能否告知这样判断有什么漏洞?应该如何做?
nc2015
2004-12-04
打赏
举报
回复
验证session应与sql对应,也就是现session必须有一个在sql中对应的值,就算是“伪装session”也是sql中存在的值,就无所为了。另外,查到后台界面是毫无意义的,他无法看到你的asp外码。
tojworks
2004-12-04
打赏
举报
回复
没法破解的!
subnet
2004-12-04
打赏
举报
回复
那就要看后台那种判断是否已登录的语句写的安不安全了。如果是这么写:
<%
if session("username")="" then
response.redirect "index.asp"
end if
%>
之类的话,嘿嘿...
wanbb
2004-12-04
打赏
举报
回复
session好象是没有办法破解的吧
mendel
2004-12-04
打赏
举报
回复
个人认为:
session只是相对于当前窗口(也包括通过当前窗口打开的其它窗口,但只限于同一站点),因为SESSION是保存在服务器端的,所以破解SESSION的可能性我想基本上不存在
而COOKIES是保存在客户端的,有一个工具可以修改COOKIES的值,不过那个软件叫什么俺就不知道了,听朋友说的,他做过测试
fengyetianshi
2004-12-04
打赏
举报
回复
学习
Ispy
2004-12-04
打赏
举报
回复
Cookie是在本地的,所以可以伪造,Session绝对不可能通过伪造来破解
Ispy
2004-12-04
打赏
举报
回复
Session都是在服务器的。
你就算在本地伪造了Session也不能传到远程的。
加载更多回复(61)
App中用户
验证
方案
传统Web网站使用Cookie+
Session
保持用户的登录状态,浏览器都有cookie,每次请求会带回
session
id,这样应用服务器就找出对应的
session
。业务逻辑里只要看
session
里有没有用户信息,那么在App
后台
怎么实现类似的功能呢?在App
后台
怎么避免每次
验证
用户身份都需要传输用户名和密码呢?
day15 个人博客项目&登录
验证
&Cookie&
Session
&
验证
码安全
1.
后台
验证
-登录用户逻辑安全2.
后台
验证
-cookie和
session
3.
后台
验证
-
验证
码和万能密码通常的
后台
验证
登录都是,1.发送登录请求,账户密码;2.接受账号密码3.对账号密码进行判断正确 -》跳转到成功登录界面失败-》重新登录而成功登录之后就会进入
后台
,
后台
会有多个管理项,而每一个管理项目如果挨个进行账户密码
验证
就太麻烦了,就产生了cookie和
session
,方便权限的
验证
cookie:身份
验证
存储到客户端浏览器内cookie安全:cookie修改 伪造 盗取。
第23天-安全开发-PHP应用&
后台
模块&
Session
&Cookie&Token&身份
验证
&唯一性
1.PHP
后台
登录身份
验证
模块实现2.cookie、
session
技术&差异3.Token数据包唯一性应用场景项目一:用cookie
做
后台
身份
验证
项目二:用
session
做
后台
身份
验证
项目三:用token
做
用户登录判断。
使用
session
实现登录
验证
使用
session
实现登录
验证
php 登录
验证
安全,简单的
方法
让你的
后台
登录更加安全(php中加
session
验证
)
本文将以Joomla!
后台
链接为例,讲解如何“修改”我们的
后台
链接,使其更加安全。原理:通过特定文件为
后台
入口注册
session
,否则失败退出。即直接使用原
后台
地址将无法登录
后台
。这样一来,入口文件名的多样性、可变更性将为你的
后台
登录提供更加安全的环境。一、入口文件:myadmin.php(文件名可随时更改)作用:注册
session
。源码如下:代码如下:...
ASP
28,409
社区成员
356,971
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章