一個 網(wǎng)頁要通過session驗證,怎么才能繞過session的驗證?

cinc

原帖由 "aaa2520" 發(fā)表：
在csdn上有人這樣對我說:


而且，通過驗證session來判斷當前用戶是否有權限訪問是很愚蠢的

假如你要求一個名為abc的session的值為1234的時候才允許登入

那么，別人隨便在另外一個地方，比如自己家里的計算..........

   


好像不可能吧。
session 是存放在服務器上的
自己在本地創(chuàng)建的 session 不可能傳遞到 別人的服務器上。
你可以自己做個試驗看看。

cinc

[quote]原帖由 "cerry"]你的意思就是說，相對COOK要比SESSION簡單是嗎[/quote 發(fā)表：
     


應該不是這個意思，他們都是實現(xiàn)保存用戶信息的不同的手段


http 是無狀態(tài)的協(xié)議，就是在用戶瀏覽不同的網(wǎng)頁之間不保存用戶信息
但是后來的發(fā)展需要 http 在網(wǎng)頁之間傳遞某些信息，所以出現(xiàn)了三種方式：

1。傳遞參數(shù)，就是在 網(wǎng)頁后加參數(shù)： http://link?name=cinc
2。利用 cookie，把用戶信息存放在 用戶本地的機器上
3。利用 session 把用戶信息存放在服務器
     每個 session 有一個 session id
     session id 可以存放在兩個地方：
       1) 如果客戶端支持 cookie，就把 session id 存放在 客戶端的 cookie 里
       2) 如果客戶端不支持 cookie ，就把 session id 作為參數(shù)在網(wǎng)頁間傳遞，就是我們�？吹降模篽ttp://link?jsessionid=jfdkjfkdjfdf

如果還不清楚，可以看看書，這里也有文檔：

The Java Web Services Tutorial
http://java.sun.com/webservices/docs/1.0/tutorial/

的 Java Servlet Technology 章節(jié)里的 Maintaining Client State 部分：
http://java.sun.com/webservices/docs/1.0/tutorial/doc/Servlets11.html

吳奇

原帖由 "cinc" 發(fā)表：
   


好像不可能吧。
session 是存放在服務器上的
自己在本地創(chuàng)建的 session 不可能傳遞到 別人的服務器上。
你可以自己做個試驗看看。

   

是可以實現(xiàn)的，比如，你可以做個frameset，然后在其中一個frame中得到或者設置session，那么其他的frame也就可以同樣使用這個session認證登陸到你想要去的地方。

badseed

原帖由 "吳奇" 發(fā)表：
   

是可以實現(xiàn)的，比如，你可以做個frameset，然后在其中一個frame中得到或者設置session，那么其他的frame也就可以同樣使用這個session認證登陸到你想要去的地方。

   

你這不是繞過認證，這只是共用一個session，而這是被允許的。在一個frameset里面的session是公用的。當你用右鍵點擊鏈接，選擇在新窗口打開鏈接的時候，新的窗口就是就得窗口的子線程，可以被允許使用父線程的session。
設計的好的jsp很難被繞過的，處處存在漏洞的程序架構是不會用在商業(yè)上的，如果這樣做了，無異于把沒有鎖上的保險箱放在大街上，你會放心的把你的錢放在里面然后自己去逛商場么？

吳奇

原帖由 "badseed" 發(fā)表：
   

你這不是繞過認證，這只是共用一個session，而這是被允許的。在一個frameset里面的session是公用的。當你用右鍵點擊鏈接，選擇在新窗口打開鏈接的時候，新的窗口就是就得窗口的子線程，可以被允許使用父線程..........

   

我沒有說是繞過認證呀！
我只是討論前面cinc說的那個本地設置的session不能傳到服務器上的問題，就象你前面提到的一樣，我只要在其中一個frame中設置好session，那么建立一個鏈接，就可以把本身線程中的session傳遞下去。實現(xiàn)了對session驗證的突破。
至于商業(yè)化的問題，任何產(chǎn)品都會有可以攻擊的，或者說考慮不周全的地方，只是發(fā)現(xiàn)的容易程度不同而已。

yihui

好

viacocha

反正我是這么認為的，COOKIE是在客戶存在磁盤上的，SESSION是存在服務器端內(nèi)存里的

網(wǎng)絡飛熊

在csdn上有人這樣對我說:


而且，通過驗證session來判斷當前用戶是否有權限訪問是很愚蠢的

假如你要求一個名為abc的session的值為1234的時候才允許登入

那么，別人隨便在另外一個地方，比如自己家里的計算機上面，寫上一個jsp，創(chuàng)建一個session("abc","1234"，然后重定向到你的頁面上，不就可以暢通無阻了？？？

哈哈哈哈哈，哈哈哈哈哈，笑死我了。笑死我了。

elgs

現(xiàn)不要笑， 最好自己實驗一下再說。 這根本就是兩個服務器， 怎么能共享session呢？ 最好先弄清楚session的工作原理再說。 實驗證明， 想通過這種方法繞過session是愚蠢的。

mostone

奇怪了，呵呵，今天我剛注冊來到這個論壇，就發(fā)現(xiàn)兩個有關于session的討論，下面的內(nèi)容是我在另外一下帖子里的回復，僅供參考。

另外，我想瀏覽器是自動識別服務器的，sessionID不是亂發(fā)的，而是在什么網(wǎng)站使用了session,那么這個session就只被發(fā)送到該網(wǎng)站，所以在本地偽造只能說是徒勞，除非如樓上一位所說的，你能生成當前該網(wǎng)站在線用戶的合法sessionID,并讓瀏覽器發(fā)送到服務器，但這種可能性是微乎其微的，論安全性，你要保存敏感數(shù)據(jù)當然無可厚非地使用session，而不是cookie, cookie是經(jīng)過簡單編碼并保存在客戶機，根本沒有安全性可言，論壇之類的使用它只是用了保存客戶上次登錄時間之類的信息，這樣，一來可以減少服務器的資源開支，另外，就是利用這些變量來統(tǒng)計自上次登錄后有多少新貼發(fā)布啊之類的信息，這些是不要求多少安全性的，你若是清空了它，你會發(fā)現(xiàn)，論壇的新帖統(tǒng)計數(shù)也就跟著變了。

http://chinaunix.net/forum/viewtopic.php?t=108075

session是針對每一個用戶的，變量的值保存在服務器上，但是如何區(qū)分是哪個用戶session變量呢，這里就有一個sessionID,這個值是通過用戶的瀏覽器在訪問的時候返回給服務器，當客戶禁用cookie時，這個值也可能設置為由get來返回給服務器。目前，有的瀏覽器的sessionID不能跨頁，有的可以，如IE,MYIE2對session的處理是不同的，后者只要你開過這個網(wǎng)站的頁面，即使關閉后(指關閉子窗口，它是多頁面瀏覽器)，再重新打開，sessionID依然存在，而無需重新注冊。sessionID是經(jīng)過加密，加密算法比較復雜，被黑的可能性很小，而cookie是保存在客戶機子上，安全性較差。另外，如樓上所說，session可以設置有效或無效，可手工建立，也可自動建立，可以設置過期時限。
另外，你所說的tmp可能只是環(huán)境變量而已，不是一個物理目錄，可設置指向到用戶物理的臨時目錄。