其实session真的可以破解的。我亲眼见过。流程大体这样

totopop 2004-12-04 04:41:00
说来大家可能不相信,但是的确我见过有人伪造了一session,轻松进了会员页面。

他说的原理我也不太懂,大意是,比如说一个会员网站,此时有会员在浏览,而他就伪装成其中的一个随机的会员进入页面。

我真正见过,不相信的话大家可以搜索一下,或者去黑客论坛交流一下。

这种方法只适合当前有会员在浏览的页面。因为它要复制其中一个。

欢迎交流。
...全文
1642 点赞 收藏 42
写回复
42 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
totopop 2004-12-21
顶一下吧,我网站昨天又被黑了,我都快郁闷死了
回复
hackate 2004-12-17
对,知道SESSION的变量有什么用的,完全没用

回复人: cuixiping(无心) ( ) 信
说得非常对,就是那样,一个SESSION有固定的一个SESSION ID,是不行的,呵呵!

我听过可以破解,国外网站的,还有工具呢!但是必须比如管理员在线,才能破解,而且相当麻烦,别去想了,楼主,这个还是个很难实现的东西,当然你说的那些进去的是相当简单的啦!

回复
sjjf 2004-12-17
http://community.csdn.net/Expert/topic/3559/3559890.xml?temp=.7404291
这个帖子今天要结贴了,也是对这个问题的讨论
回复
yjcity 2004-12-17
patchclass(黑翼) ( ) 信誉:106 2004-12-14 11:06:00 得分: 0

那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?

---------------------------------------------------------------------------------

大多数网站用session或COOKIE,不是拿来认证的,只不过是暂时存放和传递用户认证必须的一些变量,用户每次的重要操作还会用这些变量来与数据库中的资料核对,核对无误才会让操作进行下去,一个系统,如果单凭session或COOKIE来认证,那这个系统肯定是不安全的。

回复
「已注销」 2004-12-17
没有做不到的事情,事先做好的不可逆东西,

到后来还是可逆了,原因是发明一些东西之

前,本身的思维和创造力还没有达到发明很

长一段时间之后所产生或者探索的新思维和

创造力!只能说东西是不段完善的,没有不

可能的事情`~
回复
yjb136 2004-12-17
session这么容易破解,


那还学个屁呀,

谁能破了说声,

大伙也不用在这儿天天郁闷了,


我们就可以天天做有钱人了,

那多好
回复
mrshelly 2004-12-17
伪造SESSIONID 到COOKIE~~~~~~
回复
wangwl 2004-12-17
楼主说的大概是SQL注入吧,并非伪造Session。
客户端伪造Session。。。比较难。。。
回复
jnnxwjh 2004-12-16
sessionid在服务器中产生,客户端利用cookie进行维护,
当有新的客户访问时,服务器会以递增1的方式产生新的sessionid.


我学觉得理论上可以做到在客户端伪装sessionid的与服务器进行通讯.但我不会.
回复
Meteorlet 2004-12-16
讨论有什么用,自己看看http头不就知道了吗?
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 16 Dec 2004 14:30:58 GMT
X-Powered-By: ASP.NET
pragma: no-cache
cache-control: private
Connection: Keep-Alive
Content-Length: 28043
Content-Type: text/html
Expires: Wed, 15 Dec 2004 14:30:56 GMT
Set-Cookie: View%5FHotel%5FHistory=%D6%D8%C7%EC%CD%F2%BA%C0%BE%C6%B5%EA%3Aid%3D121; path=/
Set-Cookie: ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB; path=/
Cache-control: no-cache


ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB就是ASP的ID, 除了监听网络,谁在很短时间内能伪造一个这种ID出来?
回复
starimpact 2004-12-16
同意上楼的,SESSION是服务器端的怎么伪装,不过倒可以伪造cookie
回复
alcoholwang 2004-12-16
应该不是SESSION,是COOKIES
回复
zzxenjoy 2004-12-16
mark
回复
totopop 2004-12-15
大家想一想。。SESSION怎么知道是A电脑在线,而不是B电脑在线呢?这说明什么,这说明在A电脑中存在一个东西,让服务器知道在线的是它,那么它存在的是什么东西呢........
回复
jakejo 2004-12-14
http://cnitt.net/wz2/Article_Print.asp?ArticleID=1881
大家看下这个吧!
回复
fishnet0950 2004-12-14
100% 是程序问题 开玩笑,就算是你在本地创建同一个session 远程的服务器是不会读取的,就很简单你在本地 ,用cookies 写一个,看远程的理不理你,
-----------------------
严重同意,
我就知道一个网站的SESSION变量
但是SESSION根本不能跨站传递啊!
回复
patchclass 2004-12-14
得到一个会员的HTTP头信息,这里就包含了SESSION的信息
这个session信息是加密的吧
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
回复
lgs6715 2004-12-14
session
我觉得尽量不要使用

1. 超时问题
2. 单机多用户切换操作问题
其中第2点对程序操作是致命的
我觉得还是用数据库判断客户是否在线来的安全

用COOKIE 也觉得不太好,存在这个方面的问题
回复
showlin 2004-12-14
session变量是暂存在服务器的,用的是服务器的资源,不过是依赖客户端的cookies对应到使用者的暂存空间
回复
mingday 2004-12-14
session不太可能,cookie可以
回复
加载更多回复
相关推荐
发帖
ASP
创建于2007-09-28

2.8w+

社区成员

ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
申请成为版主
帖子事件
创建了帖子
2004-12-04 04:41
社区公告
暂无公告