社区
ASP
帖子详情
我用session 做的后台验证,有方法破解吗?
andy1024
2004-11-29 09:54:37
我的asp网站 有个后台,用的是sesison 验证,好像有方法破解,那位给介绍下!
...全文
1274
81
打赏
收藏
我用session 做的后台验证,有方法破解吗?
我的asp网站 有个后台,用的是sesison 验证,好像有方法破解,那位给介绍下!
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
81 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
ruyunluck
2004-12-10
打赏
举报
回复
听课
gu1dai
2004-12-10
打赏
举报
回复
你肯定是管理员登陆的验证页面有漏洞
或者是别的什么登陆页面有漏洞
注入漏洞。
怎么可能是session
cookies倒有可能
look4sword
2004-12-10
打赏
举报
回复
肯定不关SESSION的问题了,SESSION存在服务器,是在服务器生成的,从外面是传不进去的.
DARKNESSFALL
2004-12-10
打赏
举报
回复
只想关注一下一些人说的获得当前session的软件是什么?什么地方有下的?
迷惑ing.......
icefire988
2004-12-09
打赏
举报
回复
应该不是session的问题!我感觉是sql入注
slash_net
2004-12-09
打赏
举报
回复
<%
if session("username")="" then
response.redirect "index.asp"
end if
%>
这个究竟有什么问题啊?????
mayi545
2004-12-09
打赏
举报
回复
用dns欺骗可以吧,用另一台机子伪装成攻击的服务器。。然后在那台机子上生成sesison的名称与你的名称相同,然后再连接要攻击的网站。我自己以前也试过,不知道准确不
Peterwby
2004-12-09
打赏
举报
回复
感谢楼上说的这么清楚,借鉴借鉴~~
qlinfo
2004-12-08
打赏
举报
回复
再补充一下,用ASP向客户端写COOKIE的时候,如果不写生存期,默认的生存期限和生存方式和SESSION是一样的,都是保存在浏览器的内存中。
qlinfo
2004-12-08
打赏
举报
回复
如果进行验证才是安全的?
1、两个人不能同时使用同一个账户登录。在登录时,先保存登录时的IP,在后面的每次访问中,都要检查这个帐户的登录IP是否一致,如果不一致,就有可能是盗用了Session。
2、检查是否从从本网站中的其它页面进入这个页面的,如果不是,就有可能是用软件在猜测。
3、一定要有日志和网站访问统计功能。出了问题,找它,有可能会找出原因来。
4、还没想到这么多。。。
qlinfo
2004-12-08
打赏
举报
回复
大家听我来说几句。
关于session的破解,首先要理解什么是session,以及它是如何工作的。
session是在服务器上创建的用来临时存放数据的一个集合,它有一定的生存期限,一般默认为20分钟。
session值的传递过程是这样的:
在首次启动session的时候,ASP就会在服务器的内存中创建一个会话,如下所示:
会话(1):BHPMPLKCBOKNJAJBBONMFBPI;
UserName="aaa"
Sex="男"
Age=22
会话(2):KNJAJBBONMFBPIBHPMPLKCBO;
UserName="bbb"
Sex="女"
Age=20
......
同时ASP也会把session值(如:"BHPMPLKCBOKNJAJBBONMFBPI")写入到客户端 ,这个值只存在于内存中,是不写入硬盘的。
当在这个页面上点击其它链接的时候,浏览器就会把这个session值再发回服务器,ASP根据客户端提交来的这个session值,查它在内存中创建的这个表格,如果没有找到(也有可能是生存期已过)就会认为它是空的,找到之后,你的Session("UserName")就取到值了。
这个session这个值是由服务器随机创建的24位字母,而且还有生存期限,所以这个值被猜到的可能性是很小的,我们可以认为它是安全的。
那被破解的可能性只有 传输途中 和 客户端。
我们知道,浏览器向服务器发送数据如果不是采用https协议的话,使用的就是明文传输。
任何采用的明文传输数据都有可能被黑客截获---->危险!!!
在客户端这个值只存在于内存中,所以,只有使用特殊软件才能从内存中得到这个session的值的,而且得到这个值就不困难,只要在向服务器发送这个值的时候截获它就可以。
电脑中了木马、病毒---->危险!!!
Peterwby
2004-12-08
打赏
举报
回复
-----------------------------
那就要看后台那种判断是否已登录的语句写的安不安全了。如果是这么写:
<%
if session("username")="" then
response.redirect "index.asp"
end if
%>
之类的话,嘿嘿...
-----------------------------
能否告知这样判断有什么漏洞?应该如何做?
nc2015
2004-12-04
打赏
举报
回复
验证session应与sql对应,也就是现session必须有一个在sql中对应的值,就算是“伪装session”也是sql中存在的值,就无所为了。另外,查到后台界面是毫无意义的,他无法看到你的asp外码。
tojworks
2004-12-04
打赏
举报
回复
没法破解的!
subnet
2004-12-04
打赏
举报
回复
那就要看后台那种判断是否已登录的语句写的安不安全了。如果是这么写:
<%
if session("username")="" then
response.redirect "index.asp"
end if
%>
之类的话,嘿嘿...
wanbb
2004-12-04
打赏
举报
回复
session好象是没有办法破解的吧
mendel
2004-12-04
打赏
举报
回复
个人认为:
session只是相对于当前窗口(也包括通过当前窗口打开的其它窗口,但只限于同一站点),因为SESSION是保存在服务器端的,所以破解SESSION的可能性我想基本上不存在
而COOKIES是保存在客户端的,有一个工具可以修改COOKIES的值,不过那个软件叫什么俺就不知道了,听朋友说的,他做过测试
fengyetianshi
2004-12-04
打赏
举报
回复
学习
Ispy
2004-12-04
打赏
举报
回复
Cookie是在本地的,所以可以伪造,Session绝对不可能通过伪造来破解
Ispy
2004-12-04
打赏
举报
回复
Session都是在服务器的。
你就算在本地伪造了Session也不能传到远程的。
加载更多回复(61)
简单的
方法
让你的
后台
登录更加安全(php中加
session
验证
)
本文将以Joomla!
后台
链接为例,讲解如何“修改”我们的
后台
链接,使其更加安全。 原理:通过特定文件为
后台
入口注册
session
,否则失败退出。即直接使用原
后台
地址将无法登录
后台
。这样一来,入口文件名的多样性、可变更性将为你的
后台
登录提供更加安全的环境。 一、入口文件:myadmin.php(文件名可随时更改) 作用:注册
session
。源码如下: 复制代码 代码如下: <?php
session
_name( “Zjmainstay” ); //
session
名可更改,注意对应
session
_start(); $_
SESSION
[‘admin_user’] = “Y”; //sessio
App中用户
验证
方案
传统Web网站使用Cookie+
Session
保持用户的登录状态,浏览器都有cookie,每次请求会带回
session
id,这样应用服务器就找出对应的
session
。业务逻辑里只要看
session
里有没有用户信息,那么在App
后台
怎么实现类似的功能呢?在App
后台
怎么避免每次
验证
用户身份都需要传输用户名和密码呢?
使用
session
实现登录
验证
使用
session
实现登录
验证
php 登录
验证
安全,简单的
方法
让你的
后台
登录更加安全(php中加
session
验证
)
本文将以Joomla!
后台
链接为例,讲解如何“修改”我们的
后台
链接,使其更加安全。原理:通过特定文件为
后台
入口注册
session
,否则失败退出。即直接使用原
后台
地址将无法登录
后台
。这样一来,入口文件名的多样性、可变更性将为你的
后台
登录提供更加安全的环境。一、入口文件:myadmin.php(文件名可随时更改)作用:注册
session
。源码如下:代码如下:...
springboot中使用
session
进行登录
验证
当我们想登录一次之后,在一定时间内可以不用再次登录就能访问一些界面,那么这个时候,我们便可以在用户第一次登陆的时候对用户名(唯一)进行存贮到服务器的
session
当中,下次访问时,便可以对
session
中的用户名进行判断,看是否有存在该用户,如果存在,就不拦截,如果不存在,就进行重定向到登录界面 第一步,先添加拦截器 import org.springframework.context.an...
ASP
28,391
社区成员
357,060
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章