免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
1234下一页
最近访问板块 发新帖
查看: 20247 | 回复: 35

一个 网页要通过session验证,怎么才能绕过session的验证? [复制链接]

论坛徽章:
0
发表于 2003-06-06 22:50 |显示全部楼层
一个 网页要通过session验证,怎么 才能绕过session的验证,
代码是这样的,
String userName = (String) session.getAttribute("userName_s";
if (userName==null){
response.sendRedirect("error.jsp";
}

是session安全 还是 cookie安全??

谢谢 哪里有这方面的资料啊?

论坛徽章:
0
发表于 2003-06-07 09:09 |显示全部楼层

一个 网页要通过session验证,怎么才能绕过session的验证?

session是放在服务器端,本地只保存一个key,你没办法绕过去的。想其他办法吧。
如果session这么容易绕过,就不会用在电子商务上了。
资料?很多书上都有阿,比如电工出的 jsp编程指南(第二版)讲的不错

论坛徽章:
0
发表于 2003-06-07 12:32 |显示全部楼层

一个 网页要通过session验证,怎么才能绕过session的验证?

谢谢,还是有点小问题,
要是那样的话,session已经很安全了 可是很多地方干吗还要验证cookie,一个session不是就够了吗??

大虾能介绍一下网上有关session的 资料吗??

论坛徽章:
0
发表于 2003-06-07 12:34 |显示全部楼层

一个 网页要通过session验证,怎么才能绕过session的验证?

在csdn上有人这样对我说:


而且,通过验证session来判断当前用户是否有权限访问是很愚蠢的

假如你要求一个名为abc的session的值为1234的时候才允许登入

那么,别人随便在另外一个地方,比如自己家里的计算机上面,写上一个jsp,创建一个session("abc","1234",然后重定向到你的页面上,不就可以畅通无阻了???

所以,session和cookie都比较的安全,问题是你用的对不对。




不知道 他说的对吗 ??

论坛徽章:
0
发表于 2003-06-07 15:11 |显示全部楼层

一个 网页要通过session验证,怎么才能绕过session的验证?

在servlet和jsp对session的处理中, cookie实际上是在幕后工作的。 每一个session都维护一个name=jsessionid, value类似于324523A8E8D87F6897889FECB34的cookie。 你可以试着把你浏览器的cookie功能暂时disbled。 看看在有session的地方, 浏览器的地址栏里是不是有jsessionid=....... , 所以想绕过session, 就等于伪造和别人一样的一个cookie。 如果同意这一点, 我们可以计算一下, 伪造这个cookie成功的概率, 基本上等于0。(当然, 概率等于零的事件也是可能发生的。) 在cookie的生命期内, 这个jsessionid的值是不会变的, 就像本论坛, 我们可以把cookie的生命周期设为永久, 这样这个jsessionid就永远不变(假设本论坛是基于java技术的)。 所以存在潜在安全问题的是cookie, 要绕过session,就应该从获取你认为生命周期足够长的cookie的名字和值下手。

论坛徽章:
0
发表于 2003-06-07 19:03 |显示全部楼层

一个 网页要通过session验证,怎么才能绕过session的验证?

能推荐一点这方面的帖子吗 ??

论坛徽章:
0
发表于 2003-06-07 21:01 |显示全部楼层

一个 网页要通过session验证,怎么才能绕过session的验证?

说来说去,我还是不明白session 和cookie有什么区别,还不是一样的用,是不是用session的地方都可以用cookie代替呢?

论坛徽章:
0
发表于 2003-06-08 12:35 |显示全部楼层

一个 网页要通过session验证,怎么才能绕过session的验证?

我的理解是, cookie只是session的一种实现方式。 session实际上是一种服务器和浏览器互相辨认对方的机制, 他们通过交换一个令牌来实现。 不用cookie同样可以实现session, 用冗长的, 不易伪造的参数传递也是一种选择。

论坛徽章:
0
发表于 2003-06-09 08:23 |显示全部楼层

一个 网页要通过session验证,怎么才能绕过session的验证?

你的意思就是说,相对COOK要比SESSION简单是吗

论坛徽章:
1
数据库技术版块每日发帖之星
日期:2016-07-09 06:20:00
发表于 2003-06-09 17:31 |显示全部楼层

一个 网页要通过session验证,怎么才能绕过session的验证?

原帖由 "aaa2520" 发表:
在csdn上有人这样对我说:


而且,通过验证session来判断当前用户是否有权限访问是很愚蠢的

假如你要求一个名为abc的session的值为1234的时候才允许登入

那么,别人随便在另外一个地方,比如自己家里的计算..........


我曾经利用上面说的方法测试过,发现其实并不能这样就轻易的绕过session的验证的,不知大家试过没有?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP