免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
1234
最近访问板块 发新帖
楼主: aaa2520

一个 网页要通过session验证,怎么才能绕过session的验证? [复制链接]

论坛徽章:
0
发表于 2007-01-16 10:17 |显示全部楼层
作php的时候写过session的handler实现,所以明白怎么回事

通过url传参有个弊病,就是referer  url可以捕捉到session id,所以session最好还要基于ip信任

如果基于ip信任,设想一个局域网出口到外网,也会有安全问题.....

论坛徽章:
0
发表于 2007-01-16 15:44 |显示全部楼层
土豆犯初学者的错误真是不应该, Session无法伪造的,除非运行web服务的服务器有漏洞

论坛徽章:
0
发表于 2007-01-16 17:43 |显示全部楼层
欺骗session的概率极小, 4872F6E9323FA34D425753115C90D946 这样一个字串难倒暴力破解?

如果程序检验session并且同时检验ip的话要进行欺骗还不如直接去穷举web系统的用户密码。

进行报文ip欺骗应该可以通过ssl防止,原理我不清楚,不多说了。

论坛徽章:
0
发表于 2007-01-16 23:52 |显示全部楼层
原帖由 快乐的土豆 于 2007-1-16 16:18 发表
没有说这是伪造session.这是欺骗session.

因为我们校验session的时候只能校验session里面的Token,不能校验一大堆随机的对肉眼毫无意义的session ID.
这个道理形成了sso的基础--只要当前session存在着表示身份 ...


session_id是有伪造的可能,虽然不太认为这事儿的可行度,别忘了session生成只在当前该正当用户连接的时候才有,如果该正常用户离开了,session也就没有了,伪造的session_id也就没有了

另外,CSDN那个说的是在自己机器上作个假的session来绕过服务器端检验,不是伪造sessionid

论坛徽章:
0
发表于 2008-08-25 14:18 |显示全部楼层
原帖由 aaa2520 于 2003-6-7 12:34 发表
在csdn上有人这样对我说:


而且,通过验证session来判断当前用户是否有权限访问是很愚蠢的

假如你要求一个名为abc的session的值为1234的时候才允许登入

那么,别人随便在另外一个地方,比如自己家里的 ...


这个人不是一般的愚蠢。

论坛徽章:
6
CU大牛徽章
日期:2013-04-17 10:59:39CU大牛徽章
日期:2013-04-17 11:01:45CU大牛徽章
日期:2013-04-17 11:02:15CU大牛徽章
日期:2013-04-17 11:02:36CU大牛徽章
日期:2013-04-17 11:02:582015年辞旧岁徽章
日期:2015-03-03 16:54:15
发表于 2008-08-25 16:32 |显示全部楼层
03年的都能翻上来?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP