一个 网页要通过session验证,怎么才能绕过session的验证?

cinc

原帖由 "aaa2520" 发表：
在csdn上有人这样对我说:


而且，通过验证session来判断当前用户是否有权限访问是很愚蠢的

假如你要求一个名为abc的session的值为1234的时候才允许登入

那么，别人随便在另外一个地方，比如自己家里的计算..........

   


好像不可能吧。
session 是存放在服务器上的
自己在本地创建的 session 不可能传递到 别人的服务器上。
你可以自己做个试验看看。

cinc

[quote]原帖由 "cerry"]你的意思就是说，相对COOK要比SESSION简单是吗[/quote 发表：
     


应该不是这个意思，他们都是实现保存用户信息的不同的手段


http 是无状态的协议，就是在用户浏览不同的网页之间不保存用户信息
但是后来的发展需要 http 在网页之间传递某些信息，所以出现了三种方式：

1。传递参数，就是在 网页后加参数： http://link?name=cinc
2。利用 cookie，把用户信息存放在 用户本地的机器上
3。利用 session 把用户信息存放在服务器
     每个 session 有一个 session id
     session id 可以存放在两个地方：
       1) 如果客户端支持 cookie，就把 session id 存放在 客户端的 cookie 里
       2) 如果客户端不支持 cookie ，就把 session id 作为参数在网页间传递，就是我们常看到的：http://link?jsessionid=jfdkjfkdjfdf

如果还不清楚，可以看看书，这里也有文档：

The Java Web Services Tutorial
http://java.sun.com/webservices/docs/1.0/tutorial/

的 Java Servlet Technology 章节里的 Maintaining Client State 部分：
http://java.sun.com/webservices/docs/1.0/tutorial/doc/Servlets11.html

吴奇

原帖由 "cinc" 发表：
   


好像不可能吧。
session 是存放在服务器上的
自己在本地创建的 session 不可能传递到 别人的服务器上。
你可以自己做个试验看看。

   

是可以实现的，比如，你可以做个frameset，然后在其中一个frame中得到或者设置session，那么其他的frame也就可以同样使用这个session认证登陆到你想要去的地方。

badseed

原帖由 "吴奇" 发表：
   

是可以实现的，比如，你可以做个frameset，然后在其中一个frame中得到或者设置session，那么其他的frame也就可以同样使用这个session认证登陆到你想要去的地方。

   

你这不是绕过认证，这只是共用一个session，而这是被允许的。在一个frameset里面的session是公用的。当你用右键点击链接，选择在新窗口打开链接的时候，新的窗口就是就得窗口的子线程，可以被允许使用父线程的session。
设计的好的jsp很难被绕过的，处处存在漏洞的程序架构是不会用在商业上的，如果这样做了，无异于把没有锁上的保险箱放在大街上，你会放心的把你的钱放在里面然后自己去逛商场么？

吴奇

原帖由 "badseed" 发表：
   

你这不是绕过认证，这只是共用一个session，而这是被允许的。在一个frameset里面的session是公用的。当你用右键点击链接，选择在新窗口打开链接的时候，新的窗口就是就得窗口的子线程，可以被允许使用父线程..........

   

我没有说是绕过认证呀！
我只是讨论前面cinc说的那个本地设置的session不能传到服务器上的问题，就象你前面提到的一样，我只要在其中一个frame中设置好session，那么建立一个链接，就可以把本身线程中的session传递下去。实现了对session验证的突破。
至于商业化的问题，任何产品都会有可以攻击的，或者说考虑不周全的地方，只是发现的容易程度不同而已。

yihui

好

viacocha

反正我是这么认为的，COOKIE是在客户存在磁盘上的，SESSION是存在服务器端内存里的

网络飞熊

在csdn上有人这样对我说:


而且，通过验证session来判断当前用户是否有权限访问是很愚蠢的

假如你要求一个名为abc的session的值为1234的时候才允许登入

那么，别人随便在另外一个地方，比如自己家里的计算机上面，写上一个jsp，创建一个session("abc","1234"，然后重定向到你的页面上，不就可以畅通无阻了？？？

哈哈哈哈哈，哈哈哈哈哈，笑死我了。笑死我了。

elgs

现不要笑， 最好自己实验一下再说。 这根本就是两个服务器， 怎么能共享session呢？ 最好先弄清楚session的工作原理再说。 实验证明， 想通过这种方法绕过session是愚蠢的。

mostone

奇怪了，呵呵，今天我刚注册来到这个论坛，就发现两个有关于session的讨论，下面的内容是我在另外一下帖子里的回复，仅供参考。

另外，我想浏览器是自动识别服务器的，sessionID不是乱发的，而是在什么网站使用了session,那么这个session就只被发送到该网站，所以在本地伪造只能说是徒劳，除非如楼上一位所说的，你能生成当前该网站在线用户的合法sessionID,并让浏览器发送到服务器，但这种可能性是微乎其微的，论安全性，你要保存敏感数据当然无可厚非地使用session，而不是cookie, cookie是经过简单编码并保存在客户机，根本没有安全性可言，论坛之类的使用它只是用了保存客户上次登录时间之类的信息，这样，一来可以减少服务器的资源开支，另外，就是利用这些变量来统计自上次登录后有多少新贴发布啊之类的信息，这些是不要求多少安全性的，你若是清空了它，你会发现，论坛的新帖统计数也就跟着变了。

http://chinaunix.net/forum/viewtopic.php?t=108075

session是针对每一个用户的，变量的值保存在服务器上，但是如何区分是哪个用户session变量呢，这里就有一个sessionID,这个值是通过用户的浏览器在访问的时候返回给服务器，当客户禁用cookie时，这个值也可能设置为由get来返回给服务器。目前，有的浏览器的sessionID不能跨页，有的可以，如IE,MYIE2对session的处理是不同的，后者只要你开过这个网站的页面，即使关闭后(指关闭子窗口，它是多页面浏览器)，再重新打开，sessionID依然存在，而无需重新注册。sessionID是经过加密，加密算法比较复杂，被黑的可能性很小，而cookie是保存在客户机子上，安全性较差。另外，如楼上所说，session可以设置有效或无效，可手工建立，也可自动建立，可以设置过期时限。
另外，你所说的tmp可能只是环境变量而已，不是一个物理目录，可设置指向到用户物理的临时目录。