2.8w+
社区成员
- 全部
其实session真的可以破解的。我亲眼见过。流程大体这样
说来大家可能不相信,但是的确我见过有人伪造了一session,轻松进了会员页面。
他说的原理我也不太懂,大意是,比如说一个会员网站,此时有会员在浏览,而他就伪装成其中的一个随机的会员进入页面。
我真正见过,不相信的话大家可以搜索一下,或者去黑客论坛交流一下。
这种方法只适合当前有会员在浏览的页面。因为它要复制其中一个。
欢迎交流。
他说的原理我也不太懂,大意是,比如说一个会员网站,此时有会员在浏览,而他就伪装成其中的一个随机的会员进入页面。
我真正见过,不相信的话大家可以搜索一下,或者去黑客论坛交流一下。
这种方法只适合当前有会员在浏览的页面。因为它要复制其中一个。
欢迎交流。
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
totopop 2004-12-21
顶一下吧,我网站昨天又被黑了,我都快郁闷死了
hackate 2004-12-17
对,知道SESSION的变量有什么用的,完全没用
回复人: cuixiping(无心) ( ) 信
说得非常对,就是那样,一个SESSION有固定的一个SESSION ID,是不行的,呵呵!
我听过可以破解,国外网站的,还有工具呢!但是必须比如管理员在线,才能破解,而且相当麻烦,别去想了,楼主,这个还是个很难实现的东西,当然你说的那些进去的是相当简单的啦!
回复人: cuixiping(无心) ( ) 信
说得非常对,就是那样,一个SESSION有固定的一个SESSION ID,是不行的,呵呵!
我听过可以破解,国外网站的,还有工具呢!但是必须比如管理员在线,才能破解,而且相当麻烦,别去想了,楼主,这个还是个很难实现的东西,当然你说的那些进去的是相当简单的啦!
sjjf 2004-12-17
http://community.csdn.net/Expert/topic/3559/3559890.xml?temp=.7404291
这个帖子今天要结贴了,也是对这个问题的讨论
这个帖子今天要结贴了,也是对这个问题的讨论
yjcity 2004-12-17
patchclass(黑翼) ( ) 信誉:106 2004-12-14 11:06:00 得分: 0
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
---------------------------------------------------------------------------------
大多数网站用session或COOKIE,不是拿来认证的,只不过是暂时存放和传递用户认证必须的一些变量,用户每次的重要操作还会用这些变量来与数据库中的资料核对,核对无误才会让操作进行下去,一个系统,如果单凭session或COOKIE来认证,那这个系统肯定是不安全的。
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
---------------------------------------------------------------------------------
大多数网站用session或COOKIE,不是拿来认证的,只不过是暂时存放和传递用户认证必须的一些变量,用户每次的重要操作还会用这些变量来与数据库中的资料核对,核对无误才会让操作进行下去,一个系统,如果单凭session或COOKIE来认证,那这个系统肯定是不安全的。
「已注销」 2004-12-17
没有做不到的事情,事先做好的不可逆东西,
到后来还是可逆了,原因是发明一些东西之
前,本身的思维和创造力还没有达到发明很
长一段时间之后所产生或者探索的新思维和
创造力!只能说东西是不段完善的,没有不
可能的事情`~
到后来还是可逆了,原因是发明一些东西之
前,本身的思维和创造力还没有达到发明很
长一段时间之后所产生或者探索的新思维和
创造力!只能说东西是不段完善的,没有不
可能的事情`~
yjb136 2004-12-17
session这么容易破解,
那还学个屁呀,
谁能破了说声,
大伙也不用在这儿天天郁闷了,
我们就可以天天做有钱人了,
那多好
那还学个屁呀,
谁能破了说声,
大伙也不用在这儿天天郁闷了,
我们就可以天天做有钱人了,
那多好
mrshelly 2004-12-17
伪造SESSIONID 到COOKIE~~~~~~
wangwl 2004-12-17
楼主说的大概是SQL注入吧,并非伪造Session。
客户端伪造Session。。。比较难。。。
客户端伪造Session。。。比较难。。。
jnnxwjh 2004-12-16
sessionid在服务器中产生,客户端利用cookie进行维护,
当有新的客户访问时,服务器会以递增1的方式产生新的sessionid.
我学觉得理论上可以做到在客户端伪装sessionid的与服务器进行通讯.但我不会.
当有新的客户访问时,服务器会以递增1的方式产生新的sessionid.
我学觉得理论上可以做到在客户端伪装sessionid的与服务器进行通讯.但我不会.
Meteorlet 2004-12-16
讨论有什么用,自己看看http头不就知道了吗?
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 16 Dec 2004 14:30:58 GMT
X-Powered-By: ASP.NET
pragma: no-cache
cache-control: private
Connection: Keep-Alive
Content-Length: 28043
Content-Type: text/html
Expires: Wed, 15 Dec 2004 14:30:56 GMT
Set-Cookie: View%5FHotel%5FHistory=%D6%D8%C7%EC%CD%F2%BA%C0%BE%C6%B5%EA%3Aid%3D121; path=/
Set-Cookie: ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB; path=/
Cache-control: no-cache
ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB就是ASP的ID, 除了监听网络,谁在很短时间内能伪造一个这种ID出来?
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 16 Dec 2004 14:30:58 GMT
X-Powered-By: ASP.NET
pragma: no-cache
cache-control: private
Connection: Keep-Alive
Content-Length: 28043
Content-Type: text/html
Expires: Wed, 15 Dec 2004 14:30:56 GMT
Set-Cookie: View%5FHotel%5FHistory=%D6%D8%C7%EC%CD%F2%BA%C0%BE%C6%B5%EA%3Aid%3D121; path=/
Set-Cookie: ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB; path=/
Cache-control: no-cache
ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB就是ASP的ID, 除了监听网络,谁在很短时间内能伪造一个这种ID出来?
starimpact 2004-12-16
同意上楼的,SESSION是服务器端的怎么伪装,不过倒可以伪造cookie
alcoholwang 2004-12-16
应该不是SESSION,是COOKIES
zzxenjoy 2004-12-16
mark
totopop 2004-12-15
大家想一想。。SESSION怎么知道是A电脑在线,而不是B电脑在线呢?这说明什么,这说明在A电脑中存在一个东西,让服务器知道在线的是它,那么它存在的是什么东西呢........
jakejo 2004-12-14
http://cnitt.net/wz2/Article_Print.asp?ArticleID=1881
大家看下这个吧!
大家看下这个吧!
fishnet0950 2004-12-14
100% 是程序问题 开玩笑,就算是你在本地创建同一个session 远程的服务器是不会读取的,就很简单你在本地 ,用cookies 写一个,看远程的理不理你,
-----------------------
严重同意,
我就知道一个网站的SESSION变量
但是SESSION根本不能跨站传递啊!
-----------------------
严重同意,
我就知道一个网站的SESSION变量
但是SESSION根本不能跨站传递啊!
patchclass 2004-12-14
得到一个会员的HTTP头信息,这里就包含了SESSION的信息
这个session信息是加密的吧
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
这个session信息是加密的吧
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
lgs6715 2004-12-14
session
我觉得尽量不要使用
1. 超时问题
2. 单机多用户切换操作问题
其中第2点对程序操作是致命的
我觉得还是用数据库判断客户是否在线来的安全
用COOKIE 也觉得不太好,存在这个方面的问题
我觉得尽量不要使用
1. 超时问题
2. 单机多用户切换操作问题
其中第2点对程序操作是致命的
我觉得还是用数据库判断客户是否在线来的安全
用COOKIE 也觉得不太好,存在这个方面的问题
showlin 2004-12-14
session变量是暂存在服务器的,用的是服务器的资源,不过是依赖客户端的cookies对应到使用者的暂存空间
mingday 2004-12-14
session不太可能,cookie可以
加载更多回复
中国象棋人工智能论文集 这是本人收集的有关中国象棋人工智能的论文集
2009计算机博弈专辑文章.pdf
Computer Games Are an Efficient Tool for Event Game Theory.pdf
MINORS HASH TABLE IN COMPUTER CHINESE CHESS.pdf
中国象棋机器博弈的时间自适应分配策略研究.pdf
中国象棋计算机博弈中搜索算法的研究与改进.pdf
中国象棋计算机博弈关键技术分析.pdf
人工神经元网络结合TD(λ)算法在中国象棋机器博弈中的应用.pdf
博弈论的里程碑成果与局限性分析.pdf
基于剪枝策略的中国象棋搜索引擎研究.pdf
基于机器博弈的作战模拟系统探讨.pdf
大师级象棋机器人研究与开发.pdf
机器博弈研究面临的各种挑战.pdf
棋牌游戏与事件对策.pdf
积极开展民间棋类的计算机博弈活动.pdf
解剖大象的眼睛-中国象棋开发.pdf
计算机博弈原理与方法学概述.pdf
linux网络内核书合集01 本合集是本人搜集的关于linux网络内核的书籍,都是经典,包含:(1)Linux网络体系结构:Linux内核中网络协议的设计与实现.chm (2)Linux网络内核分析与开发.pdf (3)嵌入式Linux网络体系结构设计与TCP/IP协议栈.pdf (4)深入理解LINUX网络技术内幕.pdf 第一本是英文版chm格式,其余三本均为中文版,扫描清晰
HTML5经典中文教程大全-从入门到精通-含html5案例代码 HTML5经典中文教程大全
html5从入门到精通
含html5案例代码
HTML 5结构元素
这真是大快人心。目前,我们定义结构只能通过一个“万能”的div, 试图通过设置它的特性id的值如header, footer, sidebar等来分别表达头部,底部或者侧栏等。有了它们,代码编写者不再需要为id的命名费尽心思,对于手机、阅读器等设备更有语义的好处。HTML 5增加了新的结构元素来表达这些最常用的结构:
非常好验证码自动识别代码-C# OCR光学识别数字识别率达100 可用的验证码自动识别
非常好验证码自动识别代码-C# OCR光学识别数字识别率达100
自动识别邮政快递EMS验证码
自动识别顺风快递验证码
(亲测正确版)ASP.NET-c#-捕捉网页快照-网站截图-网站缩略图 (亲测正确版)ASP.NET-c#-捕捉网页快照-网站截图-网站缩略图
★★★★★★★★★★★★★★★★★★★★★★★★★★★
建立网站缩略图源码
网页快照ASP.NET网站截图
网页快照ASP.NET c# 输入网址获取网站图片
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
网上流传了很多网站缩略图的asp.net,但是都无法使用,本人亲测,该代码进行优化,速度快,效率高,占内存非常少。
STM8L中文参考手册1-4全 1 中央处理单元(CPU) 。30。
1.1 引言 30
1.2 CPU 的寄存器。30。
1.2.1 描述 CPU 寄存器。..。30
1.2.2 STM8 CPU 寄存器图....34
EXCEL VBA编程(excel办公高手必经之路) 宏基础
VBA编程基础
常用语句(分支、循环语句的基础及应用)
VBA结合工作表的函数功能的应用等 如果您会了所有的excel技能都不能解决工作的数据问题。那请选择VBA技术完成。本季主要讲解关于VBA的基础知识。为走向更高阶的excel技术打下基础。为更高效的办公打下基础。
打通Linux脉络系列:进程、线程和调度 本课程分成4个组成部分,每次课60分钟,每次课后留下3-4个练习题,可以在Linuxer公众号留言讨论答案和做题心得。
第一部分:深入彻底搞清楚进程生命周期,进程生命周期创建、退出、停止、以及僵尸是个什么意思;
第二部分:深入分析进程创建的写时拷贝技术、以及Linux的线程究竟是怎么回事(为什么称为轻量级进程),此部分也会搞清楚进程0、进程1和托孤,以及睡眠时的等待队列;
第三部分:搞清楚Linux进程调度算法,不同的调度策略,实时性,完全公平调度算法;
第四部分:讲解Linux多核下CPU、中断、软负载均衡、cgroups调度算法以及Linux为什么不是一个实时操作系统。 掌握Linux脉络知识:进程、线程和调度。
Winfrom通用权限管理系统 Winfrom框架,动态生成菜单界面,附带数据库。纯手写,仅供学习参考,希望.net 程序员越来越好。
博客地址:https://blog.csdn.net/zzzzzzzert 有问题留言,互相学习交流
linux网络内核书合集05 本合集是本人搜集的关于linux网络内核的书籍,都是经典,包含:(1)Linux网络体系结构:Linux内核中网络协议的设计与实现.chm (2)Linux网络内核分析与开发.pdf (3)嵌入式Linux网络体系结构设计与TCP/IP协议栈.pdf (4)深入理解LINUX网络技术内幕.pdf 第一本是英文版chm格式,其余三本均为中文版,扫描清晰
linux网络内核书合集03 本合集是本人搜集的关于linux网络内核的书籍,都是经典,包含:(1)Linux网络体系结构:Linux内核中网络协议的设计与实现.chm (2)Linux网络内核分析与开发.pdf (3)嵌入式Linux网络体系结构设计与TCP/IP协议栈.pdf (4)深入理解LINUX网络技术内幕.pdf 第一本是英文版chm格式,其余三本均为中文版,扫描清晰
win7/8/10 CSF文件专用播放器——科健csf播放器 很多人反馈在win10下无法正常播放csf文件,附件中为科健最新CSF文件播放器,可以支持Windos7/8/10 系统,可以在win10下正常播放
《无人驾驶车辆模型预测控制》电子书+matlab全代码 详细介绍了应用模型预测控制理论进行无人驾驶车辆控制的基础方法,结合运动规划与跟踪实例详细说明了预测模型建立、方法优化、约束处理和反馈校正的方法,给出了Matlab仿真代码和详细图解仿真步骤。
Node.js进阶教程第一步(基础篇) 本课程从Node.js的安装配置开始,包括函数调用,模块调用,路由,文件操作,异常处理,参数接收,正则表达式,连接数据库,事件等内容,使学员通过十六课时,学习Node.js的基础知识,掌握JS开发服务端的编写方法,了解Node.js的运行机制,为深入学习后期各类框架打好基础。 学习Node.js的基础知识,掌握JS开发服务端的编写方法,了解Node.js的运行机制,为深入学习后期各类框架打好基础。
