Cookie && Session

Author Avatar
Aryb1n 3月 25, 2017

一般的服务器创建新Session后,会让用户的Cookie,来存储一个Session ID,此时Session ID泄露就GG

  1. 通过Referer泄露存储在url中的Session id,让一张图片带出来(就是发了一次GET请求)

  2. Session Fixation攻击

    • 用户A得到一个未验证的Session ID,诱骗B去点击,然后获得认证,如果服务器没有在登陆完成后,重写Session ID, 那B就要GG了
  3. Session 保持攻击

    • 通过刷新页面来保持Session不过期
    • 阔以一段时间强制销毁Session,来预防攻击