-
什么是会话控制
-
SESSION
-
COOKIE
-
服务器记录用户凭证的一个变量。是一个时域(从用户登录到注销的时间域)
-
指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)
-
Web开发人员要在无状态的HTTP协议下进行状态维持和控制用户的一次会话需要引入其它的机制,这就是 会话管理
-
在人机交互,会话管理是保持用户的整个会话活动的互动与计算机系统跟踪过程。会话管理分类:桌面会话管理、浏览器会话管理、Web服务器的会话管理(通常指的SESSION以及COOKIE)。
-
会话控制包括什么
-
-
会话控制存在的隐患
-
中间人攻击
-
注射式攻击
-
获取用户登录凭证
-
通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信双方缺毫不知情。(Eg:A和B通信,C通过ARP欺骗A和B,使A认为C是B,使B认为C是A,C通过转发A和B的通信数据,是A和B保持连接,这样C就可以监听A和B的通信内容,获取敏感信息。)
-
不会改变会话双方的通讯流,而是在双方正常的通讯中插入恶意数据。(Eg:SQL注入)
-
通过修改服务器发给自己的cookie是服务器误认为自己是另一外一个用户。(基本不可能。。。)
-
通过XSS等手段获取对方的登录凭证并且通过修改自己的cookie,是自己可以登录对方的会话。
-
Cookie
-
Session
-
会话劫持
-
-
防御
-
会话加密
-
关闭浏览器的第三方cookie
-
对用户可以接触并修改的数据进行过滤
-
本文转自 nw01f 51CTO博客,原文链接:http://blog.51cto.com/dearch/1791504,如需转载请自行联系原作者