如果不使用 post 和/或获取,是否可以固定会话?
Is session fixation possible if not using post and/ or get?
根据我在网上看到的信息,会话固定攻击似乎是由 session_id 信息通过 url 中的查询字符串传递或可能通过 POST 传递引起的。对于我的网站,我从不通过 GET 或 POST 传递会话信息;我只是简单地将会话信息存储在SESSION中!这对我来说似乎非常明显,以至于我觉得我好像错过了什么......如果你只是将 session_id 存储在浏览器的 SESSION 中,你能保护你的客户 session_id 信息吗?
会话固定是一种攻击,其中攻击者定义会话 ID 或能够创建他已知的会话 ID,然后将此 ID 传递给意外的受害者,受害者使用此 ID,但不知道它不是随机创建。
你提到的 "you are storing the session information in the session" 完全没有抓住重点。这种攻击并不意味着直接访问这些数据。它针对 ID - 这个 ID 应该是足够随机的,但是会话固定攻击绕过了这个。
请注意,即使不可能固定会话,也有更多可能的攻击媒介可用于侵入会话。
根据我在网上看到的信息,会话固定攻击似乎是由 session_id 信息通过 url 中的查询字符串传递或可能通过 POST 传递引起的。对于我的网站,我从不通过 GET 或 POST 传递会话信息;我只是简单地将会话信息存储在SESSION中!这对我来说似乎非常明显,以至于我觉得我好像错过了什么......如果你只是将 session_id 存储在浏览器的 SESSION 中,你能保护你的客户 session_id 信息吗?
会话固定是一种攻击,其中攻击者定义会话 ID 或能够创建他已知的会话 ID,然后将此 ID 传递给意外的受害者,受害者使用此 ID,但不知道它不是随机创建。
你提到的 "you are storing the session information in the session" 完全没有抓住重点。这种攻击并不意味着直接访问这些数据。它针对 ID - 这个 ID 应该是足够随机的,但是会话固定攻击绕过了这个。
请注意,即使不可能固定会话,也有更多可能的攻击媒介可用于侵入会话。