社区
ASP
帖子详情
其实session真的可以破解的。我亲眼见过。流程大体这样
totopop
2004-12-04 04:41:00
说来大家可能不相信,但是的确我见过有人伪造了一session,轻松进了会员页面。
他说的原理我也不太懂,大意是,比如说一个会员网站,此时有会员在浏览,而他就伪装成其中的一个随机的会员进入页面。
我真正见过,不相信的话大家可以搜索一下,或者去黑客论坛交流一下。
这种方法只适合当前有会员在浏览的页面。因为它要复制其中一个。
欢迎交流。
...全文
2425
42
打赏
收藏
其实session真的可以破解的。我亲眼见过。流程大体这样
说来大家可能不相信,但是的确我见过有人伪造了一session,轻松进了会员页面。 他说的原理我也不太懂,大意是,比如说一个会员网站,此时有会员在浏览,而他就伪装成其中的一个随机的会员进入页面。 我真正见过,不相信的话大家可以搜索一下,或者去黑客论坛交流一下。 这种方法只适合当前有会员在浏览的页面。因为它要复制其中一个。 欢迎交流。
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
42 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
totopop
2004-12-21
打赏
举报
回复
顶一下吧,我网站昨天又被黑了,我都快郁闷死了
hackate
2004-12-17
打赏
举报
回复
对,知道SESSION的变量有什么用的,完全没用
回复人: cuixiping(无心) ( ) 信
说得非常对,就是那样,一个SESSION有固定的一个SESSION ID,是不行的,呵呵!
我听过可以破解,国外网站的,还有工具呢!但是必须比如管理员在线,才能破解,而且相当麻烦,别去想了,楼主,这个还是个很难实现的东西,当然你说的那些进去的是相当简单的啦!
sjjf
2004-12-17
打赏
举报
回复
http://community.csdn.net/Expert/topic/3559/3559890.xml?temp=.7404291
这个帖子今天要结贴了,也是对这个问题的讨论
yjcity
2004-12-17
打赏
举报
回复
patchclass(黑翼) ( ) 信誉:106 2004-12-14 11:06:00 得分: 0
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
---------------------------------------------------------------------------------
大多数网站用session或COOKIE,不是拿来认证的,只不过是暂时存放和传递用户认证必须的一些变量,用户每次的重要操作还会用这些变量来与数据库中的资料核对,核对无误才会让操作进行下去,一个系统,如果单凭session或COOKIE来认证,那这个系统肯定是不安全的。
「已注销」
2004-12-17
打赏
举报
回复
没有做不到的事情,事先做好的不可逆东西,
到后来还是可逆了,原因是发明一些东西之
前,本身的思维和创造力还没有达到发明很
长一段时间之后所产生或者探索的新思维和
创造力!只能说东西是不段完善的,没有不
可能的事情`~
yjb136
2004-12-17
打赏
举报
回复
session这么容易破解,
那还学个屁呀,
谁能破了说声,
大伙也不用在这儿天天郁闷了,
我们就可以天天做有钱人了,
那多好
mrshelly
2004-12-17
打赏
举报
回复
伪造SESSIONID 到COOKIE~~~~~~
wangwl
2004-12-17
打赏
举报
回复
楼主说的大概是SQL注入吧,并非伪造Session。
客户端伪造Session。。。比较难。。。
jnnxwjh
2004-12-16
打赏
举报
回复
sessionid在服务器中产生,客户端利用cookie进行维护,
当有新的客户访问时,服务器会以递增1的方式产生新的sessionid.
我学觉得理论上可以做到在客户端伪装sessionid的与服务器进行通讯.但我不会.
Meteorlet
2004-12-16
打赏
举报
回复
讨论有什么用,自己看看http头不就知道了吗?
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 16 Dec 2004 14:30:58 GMT
X-Powered-By: ASP.NET
pragma: no-cache
cache-control: private
Connection: Keep-Alive
Content-Length: 28043
Content-Type: text/html
Expires: Wed, 15 Dec 2004 14:30:56 GMT
Set-Cookie: View%5FHotel%5FHistory=%D6%D8%C7%EC%CD%F2%BA%C0%BE%C6%B5%EA%3Aid%3D121; path=/
Set-Cookie: ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB; path=/
Cache-control: no-cache
ASPSESSIONIDQSCDDDDQ=DLDCOIEALKCFDOAJIBGPBDNB就是ASP的ID, 除了监听网络,谁在很短时间内能伪造一个这种ID出来?
starimpact
2004-12-16
打赏
举报
回复
同意上楼的,SESSION是服务器端的怎么伪装,不过倒可以伪造cookie
alcoholwang
2004-12-16
打赏
举报
回复
应该不是SESSION,是COOKIES
zzxenjoy
2004-12-16
打赏
举报
回复
mark
totopop
2004-12-15
打赏
举报
回复
大家想一想。。SESSION怎么知道是A电脑在线,而不是B电脑在线呢?这说明什么,这说明在A电脑中存在一个东西,让服务器知道在线的是它,那么它存在的是什么东西呢........
jakejo
2004-12-14
打赏
举报
回复
http://cnitt.net/wz2/Article_Print.asp?ArticleID=1881
大家看下这个吧!
fishnet0950
2004-12-14
打赏
举报
回复
100% 是程序问题 开玩笑,就算是你在本地创建同一个session 远程的服务器是不会读取的,就很简单你在本地 ,用cookies 写一个,看远程的理不理你,
-----------------------
严重同意,
我就知道一个网站的SESSION变量
但是SESSION根本不能跨站传递啊!
patchclass
2004-12-14
打赏
举报
回复
得到一个会员的HTTP头信息,这里就包含了SESSION的信息
这个session信息是加密的吧
那些银行的网站也是用了一部分session的呢,如果你破了岂不是可以网上银行到处花钱?
lgs6715
2004-12-14
打赏
举报
回复
session
我觉得尽量不要使用
1. 超时问题
2. 单机多用户切换操作问题
其中第2点对程序操作是致命的
我觉得还是用数据库判断客户是否在线来的安全
用COOKIE 也觉得不太好,存在这个方面的问题
showlin
2004-12-14
打赏
举报
回复
session变量是暂存在服务器的,用的是服务器的资源,不过是依赖客户端的cookies对应到使用者的暂存空间
mingday
2004-12-14
打赏
举报
回复
session不太可能,cookie可以
加载更多回复(22)
ubuntu mate 18.04官网下载,烧录及安装 SSH VNC ROS MAVROS librealsense realsense-ros vision_to_mavros(我自己亲自弄的)
你首先百度搜ubuntu mate 18.04就可以发现ubuntu mate的官网,点进去 然后我们点上面的download他会让你选择平台,那我们选择64位的树莓派。 https://ubuntu-mate.org/download/arm64/ ubuntu mate 18.04就这一个版本下载,所以不用担心上面18.04.2以为还有.1什么的。可以看到18.04支持到2021年 https://ubuntu-mate.org/download/arm64/bionic/ ..
[转]高负载并发网站架构分析
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: defender_ios@hotmail.com ——————————————————————————————————————— ? 初创网站与开源软件 6 ? 谈谈大型高负载网站服务器的优化心得! 8 ? Lighttpd+Squid+Apach
TowardsDataScience 博客中文翻译 2020(八百三十七)
在使用 Pandas 开发后端财务系统多年后,我清楚地认识到 Pandas 并不是这项工作的合适工具。Pandas 对标记数据和缺失值的处理,性能接近 NumPy,确实提高了我的生产率。然而,熊猫 API 中的大量不一致导致代码难以维护。此外,熊猫对原位突变的支持导致了严重的出错机会。因此,在 2017 年 5 月,我开始实施一个更适合关键生产系统的库。现在,经过多年的发展和完善,我们看到了用 StaticFrame 代替 Pandas 在我们的生产系统中取得的优异成绩。
口语集粹
目 录 1 银行英语 2 商务谈判例谈 3 口语要素228句 4 英语口语精华 5 英语口语集粹 6 英语学习的最高境界 7 脏话、粗话 8 拍马屁的英语 9 会议英语 10 实用短英语 11 文雅骂人用的英语10句 12 英语吵架100句 13 英语口语精选1000句 14 绝佳句型100句 15 流行美语100句 16 问候英
TowardsDataScience 博客中文翻译 2021(七十三)
我能给那些想改善简历的人的最好的一句话建议是:保持简单,但信息量大!这正是我的意思——你的简历不应该太长(不超过 1 页),也不应该太模糊,也不应该太详细。写一篇过于详细的文章和一张没有多少内容的空白纸之间有一个甜蜜点。专业(工作)经验(必选,第一)教育(必修,第二)奖项/出版物/会议讲座(可选,如有)项目(关于何时包含此项目,请参见下一节)技术技能(必填)让我们一个一个地深入了解它们!我们将来自较大人群的观察结果子集称为样本。然而,取样是指我们的研究将从中收集数据的观察组。
ASP
28,409
社区成员
356,971
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章