
平臺論壇博客文庫

› 論壇 › 程序設(shè)計 › Java › 一個網(wǎng)頁要通過session驗證,怎么才能繞過session的驗證 ...

1 2 34 / 4 頁

一個網(wǎng)頁要通過session驗證,怎么才能繞過session的驗證? [復(fù)制鏈接]

jhsea3do

小富即安

論壇徽章:: 0

31樓 [報告]

發(fā)表于 2007-01-16 10:17 |只看該作者

作php的時候?qū)戇^session的handler實現(xiàn)，所以明白怎么回事

通過url傳參有個弊病，就是referer url可以捕捉到session id，所以session最好還要基于ip信任

如果基于ip信任，設(shè)想一個局域網(wǎng)出口到外網(wǎng)，也會有安全問題.....

實戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

jhsea3do

小富即安

論壇徽章:: 0

32樓 [報告]

發(fā)表于 2007-01-16 15:44 |只看該作者

土豆犯初學(xué)者的錯誤真是不應(yīng)該， Session無法偽造的，除非運(yùn)行web服務(wù)的服務(wù)器有漏洞

實戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

jhsea3do

小富即安

論壇徽章:: 0

33樓 [報告]

發(fā)表于 2007-01-16 17:43 |只看該作者

欺騙session的概率極小, 4872F6E9323FA34D425753115C90D946 這樣一個字串難倒暴力破解?

如果程序檢驗session并且同時檢驗ip的話要進(jìn)行欺騙還不如直接去窮舉web系統(tǒng)的用戶密碼。

進(jìn)行報文ip欺騙應(yīng)該可以通過ssl防止，原理我不清楚，不多說了。

實戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

艾斯尼勒

家境小康

論壇徽章:: 0

34樓 [報告]

發(fā)表于 2007-01-16 23:52 |只看該作者

原帖由 快樂的土豆 于 2007-1-16 16:18 發(fā)表
沒有說這是偽造session.這是欺騙session.

因為我們校驗session的時候只能校驗session里面的Token,不能校驗一大堆隨機(jī)的對肉眼毫無意義的session ID.
這個道理形成了sso的基礎(chǔ)--只要當(dāng)前session存在著表示身份 ...

session_id是有偽造的可能，雖然不太認(rèn)為這事兒的可行度，別忘了session生成只在當(dāng)前該正當(dāng)用戶連接的時候才有，如果該正常用戶離開了，session也就沒有了，偽造的session_id也就沒有了

另外，CSDN那個說的是在自己機(jī)器上作個假的session來繞過服務(wù)器端檢驗，不是偽造sessionid

實戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

Kagilo

白手起家

論壇徽章:: 0

35樓 [報告]

發(fā)表于 2008-08-25 14:18 |只看該作者

原帖由 aaa2520 于 2003-6-7 12:34 發(fā)表
在csdn上有人這樣對我說:

而且，通過驗證session來判斷當(dāng)前用戶是否有權(quán)限訪問是很愚蠢的

假如你要求一個名為abc的session的值為1234的時候才允許登入

那么，別人隨便在另外一個地方，比如自己家里的 ...

這個人不是一般的愚蠢。