28,409
社区成员
发帖
与我相关
我的任务
分享其实session真的可以破解的。我亲眼见过。流程大体这样
说来大家可能不相信,但是的确我见过有人伪造了一session,轻松进了会员页面。
他说的原理我也不太懂,大意是,比如说一个会员网站,此时有会员在浏览,而他就伪装成其中的一个随机的会员进入页面。
我真正见过,不相信的话大家可以搜索一下,或者去黑客论坛交流一下。
这种方法只适合当前有会员在浏览的页面。因为它要复制其中一个。
欢迎交流。
他说的原理我也不太懂,大意是,比如说一个会员网站,此时有会员在浏览,而他就伪装成其中的一个随机的会员进入页面。
我真正见过,不相信的话大家可以搜索一下,或者去黑客论坛交流一下。
这种方法只适合当前有会员在浏览的页面。因为它要复制其中一个。
欢迎交流。
...全文
请发表友善的回复…
发表回复
totopop 2004-12-21
- 打赏
- 举报
顶一下吧,我网站昨天又被黑了,我都快郁闷死了
hackate 2004-12-17
- 打赏
- 举报
对,知道SESSION的变量有什么用的,完全没用
回复人: cuixiping(无心) ( ) 信
说得非常对,就是那样,一个SESSION有固定的一个SESSION ID,是不行的,呵呵!
我听过可以破解,国外网站的,还有工具呢!但是必须比如管理员在线,才能破解,而且相当麻烦,别去想了,楼主,这个还是个很难实现的东西,当然你说的那些进去的是相当简单的啦!
回复人: cuixiping(无心) ( ) 信
说得非常对,就是那样,一个SESSION有固定的一个SESSION ID,是不行的,呵呵!
我听过可以破解,国外网站的,还有工具呢!但是必须比如管理员在线,才能破解,而且相当麻烦,别去想了,楼主,这个还是个很难实现的东西,当然你说的那些进去的是相当简单的啦!
sjjf 2004-12-17
- 打赏
- 举报
http://community.csdn.net/Expert/topic/3559/3559890.xml?temp=.7404291
这个帖子今天要结贴了,也是对这个问题的讨论
这个帖子今天要结贴了,也是对这个问题的讨论
yjcity 2004-12-17
- 打赏
- 举报
patchclass(黑翼) ( ) 信誉:106 2004-12-14 11:06:00 得分: 0
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
---------------------------------------------------------------------------------
大多数网站用session或COOKIE,不是拿来认证的,只不过是暂时存放和传递用户认证必须的一些变量,用户每次的重要操作还会用这些变量来与数据库中的资料核对,核对无误才会让操作进行下去,一个系统,如果单凭session或COOKIE来认证,那这个系统肯定是不安全的。
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
---------------------------------------------------------------------------------
大多数网站用session或COOKIE,不是拿来认证的,只不过是暂时存放和传递用户认证必须的一些变量,用户每次的重要操作还会用这些变量来与数据库中的资料核对,核对无误才会让操作进行下去,一个系统,如果单凭session或COOKIE来认证,那这个系统肯定是不安全的。
「已注销」 2004-12-17
- 打赏
- 举报
没有做不到的事情,事先做好的不可逆东西,
到后来还是可逆了,原因是发明一些东西之
前,本身的思维和创造力还没有达到发明很
长一段时间之后所产生或者探索的新思维和
创造力!只能说东西是不段完善的,没有不
可能的事情`~
到后来还是可逆了,原因是发明一些东西之
前,本身的思维和创造力还没有达到发明很
长一段时间之后所产生或者探索的新思维和
创造力!只能说东西是不段完善的,没有不
可能的事情`~
yjb136 2004-12-17
- 打赏
- 举报
session这么容易破解,
那还学个屁呀,
谁能破了说声,
大伙也不用在这儿天天郁闷了,
我们就可以天天做有钱人了,
那多好
那还学个屁呀,
谁能破了说声,
大伙也不用在这儿天天郁闷了,
我们就可以天天做有钱人了,
那多好
mrshelly 2004-12-17
- 打赏
- 举报
伪造SESSIONID 到COOKIE~~~~~~
wangwl 2004-12-17
- 打赏
- 举报
楼主说的大概是SQL注入吧,并非伪造Session。
客户端伪造Session。。。比较难。。。
客户端伪造Session。。。比较难。。。
jnnxwjh 2004-12-16
- 打赏
- 举报
sessionid在服务器中产生,客户端利用cookie进行维护,
当有新的客户访问时,服务器会以递增1的方式产生新的sessionid.
我学觉得理论上可以做到在客户端伪装sessionid的与服务器进行通讯.但我不会.
当有新的客户访问时,服务器会以递增1的方式产生新的sessionid.
我学觉得理论上可以做到在客户端伪装sessionid的与服务器进行通讯.但我不会.
Meteorlet 2004-12-16
- 打赏
- 举报
讨论有什么用,自己看看http头不就知道了吗?
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 16 Dec 2004 14:30:58 GMT
X-Powered-By: ASP.NET
pragma: no-cache
cache-control: private
Connection: Keep-Alive
Content-Length: 28043
Content-Type: text/html
Expires: Wed, 15 Dec 2004 14:30:56 GMT
Set-Cookie: View%5FHotel%5FHistory=%D6%D8%C7%EC%CD%F2%BA%C0%BE%C6%B5%EA%3Aid%3D121; path=/
Set-Cookie: ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB; path=/
Cache-control: no-cache
ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB就是ASP的ID, 除了监听网络,谁在很短时间内能伪造一个这种ID出来?
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 16 Dec 2004 14:30:58 GMT
X-Powered-By: ASP.NET
pragma: no-cache
cache-control: private
Connection: Keep-Alive
Content-Length: 28043
Content-Type: text/html
Expires: Wed, 15 Dec 2004 14:30:56 GMT
Set-Cookie: View%5FHotel%5FHistory=%D6%D8%C7%EC%CD%F2%BA%C0%BE%C6%B5%EA%3Aid%3D121; path=/
Set-Cookie: ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB; path=/
Cache-control: no-cache
ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB就是ASP的ID, 除了监听网络,谁在很短时间内能伪造一个这种ID出来?
starimpact 2004-12-16
- 打赏
- 举报
同意上楼的,SESSION是服务器端的怎么伪装,不过倒可以伪造cookie
alcoholwang 2004-12-16
- 打赏
- 举报
应该不是SESSION,是COOKIES
zzxenjoy 2004-12-16
- 打赏
- 举报
mark
totopop 2004-12-15
- 打赏
- 举报
大家想一想。。SESSION怎么知道是A电脑在线,而不是B电脑在线呢?这说明什么,这说明在A电脑中存在一个东西,让服务器知道在线的是它,那么它存在的是什么东西呢........
jakejo 2004-12-14
- 打赏
- 举报
http://cnitt.net/wz2/Article_Print.asp?ArticleID=1881
大家看下这个吧!
大家看下这个吧!
fishnet0950 2004-12-14
- 打赏
- 举报
100% 是程序问题 开玩笑,就算是你在本地创建同一个session 远程的服务器是不会读取的,就很简单你在本地 ,用cookies 写一个,看远程的理不理你,
-----------------------
严重同意,
我就知道一个网站的SESSION变量
但是SESSION根本不能跨站传递啊!
-----------------------
严重同意,
我就知道一个网站的SESSION变量
但是SESSION根本不能跨站传递啊!
patchclass 2004-12-14
- 打赏
- 举报
得到一个会员的HTTP头信息,这里就包含了SESSION的信息
这个session信息是加密的吧
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
这个session信息是加密的吧
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
lgs6715 2004-12-14
- 打赏
- 举报
session
我觉得尽量不要使用
1. 超时问题
2. 单机多用户切换操作问题
其中第2点对程序操作是致命的
我觉得还是用数据库判断客户是否在线来的安全
用COOKIE 也觉得不太好,存在这个方面的问题
我觉得尽量不要使用
1. 超时问题
2. 单机多用户切换操作问题
其中第2点对程序操作是致命的
我觉得还是用数据库判断客户是否在线来的安全
用COOKIE 也觉得不太好,存在这个方面的问题
showlin 2004-12-14
- 打赏
- 举报
session变量是暂存在服务器的,用的是服务器的资源,不过是依赖客户端的cookies对应到使用者的暂存空间
mingday 2004-12-14
- 打赏
- 举报
session不太可能,cookie可以
加载更多回复(22)
