-1

从我在线阅读的内容来看,会话固定攻击似乎是由通过 url 中的查询字符串或可能通过 POST 传递的 session_id 信息引起的。对于我的网站,我从不通过 GET 或 POST 传递会话信息;我只是将会话信息存储在 SESSION 中!这对我来说似乎非常明显,以至于我觉得我好像遗漏了一些东西......如果你只是将 session_id 存储在浏览器的 SESSION 中,你能保护你的客户 session_id 信息吗?

4

1 回答 1

0

会话固定是一种攻击,攻击者定义会话 ID 或能够创建他已知的会话 ID,然后将此 ID 传递给使用此 ID 的意外受害者,但不知道它不是随机创建的。

您提到“您将会话信息存储在会话中”完全没有抓住重点。这种攻击并不意味着直接访问这些数据。它以 ID 为目标——这个 ID 应该足够随机,但会话固定攻击绕过了这一点。

请注意,即使没有会话固定的可能性,也有更多可能的攻击向量可用于闯入会话。

于 2015-07-17T19:08:24.630 回答