我用session 做的后台验证,有方法破解吗?

andy1024 2004-11-29 09:54:37
我的asp网站 有个后台,用的是sesison 验证,好像有方法破解,那位给介绍下!
...全文
1161 点赞 收藏 81
写回复
81 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
ruyunluck 2004-12-10
听课
回复
gu1dai 2004-12-10
你肯定是管理员登陆的验证页面有漏洞
或者是别的什么登陆页面有漏洞
注入漏洞。
怎么可能是session
cookies倒有可能
回复
look4sword 2004-12-10
肯定不关SESSION的问题了,SESSION存在服务器,是在服务器生成的,从外面是传不进去的.
回复
DARKNESSFALL 2004-12-10
只想关注一下一些人说的获得当前session的软件是什么?什么地方有下的?
迷惑ing.......
回复
icefire988 2004-12-09
应该不是session的问题!我感觉是sql入注
回复
slash_net 2004-12-09
<%
if session("username")="" then
response.redirect "index.asp"
end if
%>

这个究竟有什么问题啊?????
回复
mayi545 2004-12-09
用dns欺骗可以吧,用另一台机子伪装成攻击的服务器。。然后在那台机子上生成sesison的名称与你的名称相同,然后再连接要攻击的网站。我自己以前也试过,不知道准确不
回复
Peterwby 2004-12-09
感谢楼上说的这么清楚,借鉴借鉴~~
回复
qlinfo 2004-12-08
再补充一下,用ASP向客户端写COOKIE的时候,如果不写生存期,默认的生存期限和生存方式和SESSION是一样的,都是保存在浏览器的内存中。
回复
qlinfo 2004-12-08
如果进行验证才是安全的?

1、两个人不能同时使用同一个账户登录。在登录时,先保存登录时的IP,在后面的每次访问中,都要检查这个帐户的登录IP是否一致,如果不一致,就有可能是盗用了Session。

2、检查是否从从本网站中的其它页面进入这个页面的,如果不是,就有可能是用软件在猜测。

3、一定要有日志和网站访问统计功能。出了问题,找它,有可能会找出原因来。

4、还没想到这么多。。。
回复
qlinfo 2004-12-08
大家听我来说几句。

关于session的破解,首先要理解什么是session,以及它是如何工作的。

session是在服务器上创建的用来临时存放数据的一个集合,它有一定的生存期限,一般默认为20分钟。
session值的传递过程是这样的:
在首次启动session的时候,ASP就会在服务器的内存中创建一个会话,如下所示:

会话(1):BHPMPLKCBOKNJAJBBONMFBPI;
UserName="aaa"
Sex="男"
Age=22
会话(2):KNJAJBBONMFBPIBHPMPLKCBO;
UserName="bbb"
Sex="女"
Age=20
......

同时ASP也会把session值(如:"BHPMPLKCBOKNJAJBBONMFBPI")写入到客户端 ,这个值只存在于内存中,是不写入硬盘的。

当在这个页面上点击其它链接的时候,浏览器就会把这个session值再发回服务器,ASP根据客户端提交来的这个session值,查它在内存中创建的这个表格,如果没有找到(也有可能是生存期已过)就会认为它是空的,找到之后,你的Session("UserName")就取到值了。


这个session这个值是由服务器随机创建的24位字母,而且还有生存期限,所以这个值被猜到的可能性是很小的,我们可以认为它是安全的。

那被破解的可能性只有 传输途中 和 客户端。
我们知道,浏览器向服务器发送数据如果不是采用https协议的话,使用的就是明文传输。
任何采用的明文传输数据都有可能被黑客截获---->危险!!!

在客户端这个值只存在于内存中,所以,只有使用特殊软件才能从内存中得到这个session的值的,而且得到这个值就不困难,只要在向服务器发送这个值的时候截获它就可以。
电脑中了木马、病毒---->危险!!!
回复
Peterwby 2004-12-08
-----------------------------
那就要看后台那种判断是否已登录的语句写的安不安全了。如果是这么写:
<%
if session("username")="" then
response.redirect "index.asp"
end if
%>
之类的话,嘿嘿...
-----------------------------
能否告知这样判断有什么漏洞?应该如何做?
回复
nc2015 2004-12-04
验证session应与sql对应,也就是现session必须有一个在sql中对应的值,就算是“伪装session”也是sql中存在的值,就无所为了。另外,查到后台界面是毫无意义的,他无法看到你的asp外码。
回复
tojworks 2004-12-04
没法破解的!
回复
subnet 2004-12-04
那就要看后台那种判断是否已登录的语句写的安不安全了。如果是这么写:
<%
if session("username")="" then
response.redirect "index.asp"
end if
%>
之类的话,嘿嘿...
回复
wanbb 2004-12-04
session好象是没有办法破解的吧
回复
mendel 2004-12-04
个人认为:

session只是相对于当前窗口(也包括通过当前窗口打开的其它窗口,但只限于同一站点),因为SESSION是保存在服务器端的,所以破解SESSION的可能性我想基本上不存在

而COOKIES是保存在客户端的,有一个工具可以修改COOKIES的值,不过那个软件叫什么俺就不知道了,听朋友说的,他做过测试
回复
fengyetianshi 2004-12-04
学习
回复
Ispy 2004-12-04
Cookie是在本地的,所以可以伪造,Session绝对不可能通过伪造来破解
回复
Ispy 2004-12-04
Session都是在服务器的。
你就算在本地伪造了Session也不能传到远程的。
回复
加载更多回复
相关推荐
发帖
ASP
创建于2007-09-28

2.8w+

社区成员

ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
申请成为版主
帖子事件
创建了帖子
2004-11-29 09:54
社区公告
暂无公告