2.8w+
社区成员
其实session真的可以破解的。我亲眼见过。流程大体这样
说来大家可能不相信,但是的确我见过有人伪造了一session,轻松进了会员页面。
他说的原理我也不太懂,大意是,比如说一个会员网站,此时有会员在浏览,而他就伪装成其中的一个随机的会员进入页面。
我真正见过,不相信的话大家可以搜索一下,或者去黑客论坛交流一下。
这种方法只适合当前有会员在浏览的页面。因为它要复制其中一个。
欢迎交流。
他说的原理我也不太懂,大意是,比如说一个会员网站,此时有会员在浏览,而他就伪装成其中的一个随机的会员进入页面。
我真正见过,不相信的话大家可以搜索一下,或者去黑客论坛交流一下。
这种方法只适合当前有会员在浏览的页面。因为它要复制其中一个。
欢迎交流。
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
totopop 2004-12-21
顶一下吧,我网站昨天又被黑了,我都快郁闷死了
hackate 2004-12-17
对,知道SESSION的变量有什么用的,完全没用
回复人: cuixiping(无心) ( ) 信
说得非常对,就是那样,一个SESSION有固定的一个SESSION ID,是不行的,呵呵!
我听过可以破解,国外网站的,还有工具呢!但是必须比如管理员在线,才能破解,而且相当麻烦,别去想了,楼主,这个还是个很难实现的东西,当然你说的那些进去的是相当简单的啦!
回复人: cuixiping(无心) ( ) 信
说得非常对,就是那样,一个SESSION有固定的一个SESSION ID,是不行的,呵呵!
我听过可以破解,国外网站的,还有工具呢!但是必须比如管理员在线,才能破解,而且相当麻烦,别去想了,楼主,这个还是个很难实现的东西,当然你说的那些进去的是相当简单的啦!
sjjf 2004-12-17
http://community.csdn.net/Expert/topic/3559/3559890.xml?temp=.7404291
这个帖子今天要结贴了,也是对这个问题的讨论
这个帖子今天要结贴了,也是对这个问题的讨论
yjcity 2004-12-17
patchclass(黑翼) ( ) 信誉:106 2004-12-14 11:06:00 得分: 0
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
---------------------------------------------------------------------------------
大多数网站用session或COOKIE,不是拿来认证的,只不过是暂时存放和传递用户认证必须的一些变量,用户每次的重要操作还会用这些变量来与数据库中的资料核对,核对无误才会让操作进行下去,一个系统,如果单凭session或COOKIE来认证,那这个系统肯定是不安全的。
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
---------------------------------------------------------------------------------
大多数网站用session或COOKIE,不是拿来认证的,只不过是暂时存放和传递用户认证必须的一些变量,用户每次的重要操作还会用这些变量来与数据库中的资料核对,核对无误才会让操作进行下去,一个系统,如果单凭session或COOKIE来认证,那这个系统肯定是不安全的。
「已注销」 2004-12-17
没有做不到的事情,事先做好的不可逆东西,
到后来还是可逆了,原因是发明一些东西之
前,本身的思维和创造力还没有达到发明很
长一段时间之后所产生或者探索的新思维和
创造力!只能说东西是不段完善的,没有不
可能的事情`~
到后来还是可逆了,原因是发明一些东西之
前,本身的思维和创造力还没有达到发明很
长一段时间之后所产生或者探索的新思维和
创造力!只能说东西是不段完善的,没有不
可能的事情`~
yjb136 2004-12-17
session这么容易破解,
那还学个屁呀,
谁能破了说声,
大伙也不用在这儿天天郁闷了,
我们就可以天天做有钱人了,
那多好
那还学个屁呀,
谁能破了说声,
大伙也不用在这儿天天郁闷了,
我们就可以天天做有钱人了,
那多好
mrshelly 2004-12-17
伪造SESSIONID 到COOKIE~~~~~~
wangwl 2004-12-17
楼主说的大概是SQL注入吧,并非伪造Session。
客户端伪造Session。。。比较难。。。
客户端伪造Session。。。比较难。。。
jnnxwjh 2004-12-16
sessionid在服务器中产生,客户端利用cookie进行维护,
当有新的客户访问时,服务器会以递增1的方式产生新的sessionid.
我学觉得理论上可以做到在客户端伪装sessionid的与服务器进行通讯.但我不会.
当有新的客户访问时,服务器会以递增1的方式产生新的sessionid.
我学觉得理论上可以做到在客户端伪装sessionid的与服务器进行通讯.但我不会.
Meteorlet 2004-12-16
讨论有什么用,自己看看http头不就知道了吗?
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 16 Dec 2004 14:30:58 GMT
X-Powered-By: ASP.NET
pragma: no-cache
cache-control: private
Connection: Keep-Alive
Content-Length: 28043
Content-Type: text/html
Expires: Wed, 15 Dec 2004 14:30:56 GMT
Set-Cookie: View%5FHotel%5FHistory=%D6%D8%C7%EC%CD%F2%BA%C0%BE%C6%B5%EA%3Aid%3D121; path=/
Set-Cookie: ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB; path=/
Cache-control: no-cache
ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB就是ASP的ID, 除了监听网络,谁在很短时间内能伪造一个这种ID出来?
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 16 Dec 2004 14:30:58 GMT
X-Powered-By: ASP.NET
pragma: no-cache
cache-control: private
Connection: Keep-Alive
Content-Length: 28043
Content-Type: text/html
Expires: Wed, 15 Dec 2004 14:30:56 GMT
Set-Cookie: View%5FHotel%5FHistory=%D6%D8%C7%EC%CD%F2%BA%C0%BE%C6%B5%EA%3Aid%3D121; path=/
Set-Cookie: ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB; path=/
Cache-control: no-cache
ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB就是ASP的ID, 除了监听网络,谁在很短时间内能伪造一个这种ID出来?
starimpact 2004-12-16
同意上楼的,SESSION是服务器端的怎么伪装,不过倒可以伪造cookie
alcoholwang 2004-12-16
应该不是SESSION,是COOKIES
zzxenjoy 2004-12-16
mark
totopop 2004-12-15
大家想一想。。SESSION怎么知道是A电脑在线,而不是B电脑在线呢?这说明什么,这说明在A电脑中存在一个东西,让服务器知道在线的是它,那么它存在的是什么东西呢........
jakejo 2004-12-14
http://cnitt.net/wz2/Article_Print.asp?ArticleID=1881
大家看下这个吧!
大家看下这个吧!
fishnet0950 2004-12-14
100% 是程序问题 开玩笑,就算是你在本地创建同一个session 远程的服务器是不会读取的,就很简单你在本地 ,用cookies 写一个,看远程的理不理你,
-----------------------
严重同意,
我就知道一个网站的SESSION变量
但是SESSION根本不能跨站传递啊!
-----------------------
严重同意,
我就知道一个网站的SESSION变量
但是SESSION根本不能跨站传递啊!
patchclass 2004-12-14
得到一个会员的HTTP头信息,这里就包含了SESSION的信息
这个session信息是加密的吧
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
这个session信息是加密的吧
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
lgs6715 2004-12-14
session
我觉得尽量不要使用
1. 超时问题
2. 单机多用户切换操作问题
其中第2点对程序操作是致命的
我觉得还是用数据库判断客户是否在线来的安全
用COOKIE 也觉得不太好,存在这个方面的问题
我觉得尽量不要使用
1. 超时问题
2. 单机多用户切换操作问题
其中第2点对程序操作是致命的
我觉得还是用数据库判断客户是否在线来的安全
用COOKIE 也觉得不太好,存在这个方面的问题
showlin 2004-12-14
session变量是暂存在服务器的,用的是服务器的资源,不过是依赖客户端的cookies对应到使用者的暂存空间
mingday 2004-12-14
session不太可能,cookie可以
加载更多回复
ubuntu mate 18.04官网下载,烧录及安装 SSH VNC ROS MAVROS librealsense realsense-ros vision_to_mavros(我自己亲自弄的) 你首先百度搜ubuntu mate 18.04就可以发现ubuntu mate的官网,点进去 然后我们点上面的download他会让你选择平台,那我们选择64位的树莓派。 https://ubuntu-mate.org/download/arm64/ ubuntu mate 18.04就这...
人月神话 尽管我在一些讲座上也分析过这个问题,我还是一直想把它写成文章。 Peter Gordon 现在是A ddiso n- We sl ey 的出版伙伴,他从1 980 年开始和我共事。他非 常耐心,对我帮助很大。他建议我们准备一个纪念版本。...
高负载高并发网站架构分析 前面有一篇文章中提到过开源软件,不过主要是在系统运维的角度去讲的,主要分析一些系统级的开源软件(例如bind,memcached),这里我们讨论的是用于搭建初创网站应用的开源软件(例如phpbb,phparticle),运行在Linux,...
[转]高负载并发网站架构分析 前面有一篇文章中提到过开 源软件,不过主要是在系统运维的角度去讲的,主要分析一些系统级的开源软件(例如bind,memcached),这里我们讨论的是用于搭建初创网站应用 的开源软件(例如phpbb,phparticle),运行在...
HBase 官方文档 HBase官方文档Revision History Revision 0.90.4 配置,数据模型使用入门 Abstract这是 Apache HBase的官方文档, Hbase是一个...我(译者)熟悉Hbase的源代码,从事Hbase的开发运维工作,如果有什么地方不清楚,欢...
口语集粹 我需开个支票帐户,这样就能付帐。 We'd like to know how we open a checking-savings account. 我们想知道如何开一个支票储蓄帐户。 I have a checking account here. 我在这里有一个支票...
HBASE从入门到精通 每个HStore对应了Table中的一个Column Family的存储,可以看出每个Column Family其实就是一个集中的存储单元,因此最好将具备共同IO特性的column放在一个Column Family中,这样最高效。 HStore存储是HBase存储...
