Можно ли взломать значение сеанса?

Когда я вышел с сайта без выхода из системы, в следующий раз, когда я просматриваю сайт, на котором я обнаружил, я вошел в систему? Как этот сервер восстановить значение сеанса для моего браузера? Есть ли шанс быть взломанным в этом процессе? Может ли это восстановленное значение сеанса быть украдено другими? Пожалуйста, поделитесь своей концепцией об этом. заранее спасибо

Ответы на вопрос(6)

что вы видите, является результатом сохранения куки в вашем браузере для сохранения этой информации о сеансе. Это можно взломать? Зависит от сайта / приложения, но не больше, чем могло бы быть, если бы вы не закрыли свой браузер.

Решение Вопроса

что во всех технологиях значения сеансов в Интернете хранятся на удаленном сервере. Таким образом, для взлома значений вашего сеанса потребуется взлом удаленного сервера. То, с чем вы сталкиваетесь, это тот факт, что ваш идентификатор сеанса хранится в файле cookie (сессионный cookie), чтобы при повторном открытии браузера файл cookie использовался для вашей идентификации и предоставления доступа к удаленному сеансу. Обычно сессионные куки имеют короткий TTL (время жизни), прежде чем они истекают и выходят из вас, но если нет, то явный выход из системы должен очистить его. Если вы действительно обеспокоены, вы можете удалить свои куки.

 Martin Zeitler20 мар. 2013 г., 18:56
обычные сессии не взламываются ... они перехватываются (очень часто встречаются с файлами cookie WordPress, которые даже не имеют серверных сессий). Файлы cookie - это просто хранилище сессий на стороне клиента.
 Leeish12 февр. 2015 г., 16:20
ЯвляютсяSESSION переменные считаются безопасными. Если кто-то входит в систему, и я сохраняю в области сеанса его идентификатор и состояние входа в систему. Использование этого идентификатора для запроса данных и возврата данных им безопасно? Я бы вообразил, но не уверен. Должен ли я хранить их состояние в БД и использовать это только как статус? Я бы хотел, чтобы СЕССИЯ была достаточно безопасной.

Способ "взломать" это будет получить доступ к вашему компьютеру, а затем взять копию куки. Или возьмите копию куки во время отправки в браузер.

Для защиты от этого вы могли бы:

Отправьте куки клиенту через https.Не храните куки на диске (куки без таймаута будут храниться в памяти)

Блокировка сеанса по одному IP-адресу может вызвать проблемы, если ваши пользователи приходят из сети с двумя прокси-серверами.

 Masud Rahman26 сент. 2010 г., 19:03
спасибо всем вам, ребята. Я еще не сталкивался с какой-либо проблемой. Просто я постоянно обновлялся.

текстовую строку, которую ваш браузер хранит от имени сайта, либо в течение установленного срока, либо до тех пор, пока вы не закроете свой браузер.

Выйдите, если это проблема. Очевидно, что если кто-то еще использует тот же компьютер вскоре после вас, он сможет использовать сайт, зарегистрированный как вы. Всегда явно выходите из общедоступных компьютеров.

проверяет ли сервер IP-адрес, пытающийся использовать токен (вероятно, файл cookie, но не обязательно), против того, который вошел в систему, для вора может быть возможность использовать этот файл cookie для получения доступа к вашему токену. учетная запись.

Хорошо разработанный сайт не только приведет к тайм-ауту сеансов, но и ограничит их одним IP-адресом (и пользовательским агентом браузера и т. Д.).

 Gert Grenander26 сент. 2010 г., 18:15
Даже проверка IP не защищает от взлома. Если и жертва, и угонщик находятся за одним и тем же маршрутизатором, веб-сервер увидит, что они поступают с одной и той же машины (поскольку их общедоступный IP-адрес будет одинаковым). Идентификаторы браузера тоже небезопасны ... их можно легко подделать.
 Ben Voigt26 сент. 2010 г., 20:44
Определенно. Защита от атак воспроизведения в реальном времени является сложной задачей. Рекомендуется проверить IP-адрес и т. Д., Но на них не следует полагаться, так как они небезопасны.

если он не выйдет из системы (чтобы сервер не испортил файлы cookie), вы можете войти с ними

Ваш ответ на вопрос