Когда я вышел из сайта без выхода из системы, в следующий раз, когда я просмотрю этот сайт, я нашел, что я зарегистрирован там? Как этот сервер восстанавливает значение сеанса для моего браузера? Есть ли шанс быть взломанным в этом процессе? Может ли это восстановить значение сеанса другими? пожалуйста, поделитесь своей концепцией об этом. Заранее спасибоМожно ли взломать значение сеанса?
ответ
Во всех технологиях, о которых я знаю, веб-значения сеанса хранятся на удаленном сервере. Таким образом, для взлома ваших значений сеанса потребуется взломать удаленный сервер. Вы сталкиваетесь с тем, что ваш идентификатор сеанса хранится в файле cookie (session cookie), поэтому при повторном открытии браузера cookie используется для идентификации вас и предоставления доступа к удаленному сеансу. Обычно файлы cookie сеанса имеют короткий TTL (время для жизни) до истечения срока их действия и выходят из системы, но если нет, то явное выключение должно очистить его. Если вы действительно беспокоитесь, вы можете удалить свои файлы cookie.
Что вы видите, это результат того, что файл cookie хранится в вашем браузере, чтобы вставить эту информацию в сеанс. Можно ли его взломать? Зависит от сайта/приложения, но не больше, чем может быть, если вы не закрыли свой браузер.
Он использует куки-файлы, текстовую строку, которую ваш браузер хранит от имени сайта, либо для установленного лимита времени, либо до закрытия браузера.
Выйдите из системы, если это проблема. Очевидно, что если кто-то другой использует тот же компьютер вскоре после вас, они смогут использовать сайт, зарегистрированный как вы. Всегда явно выходить из общедоступных компьютеров.
В зависимости от того, проверяет ли сервер IP-адрес, пытающийся использовать токен (возможно, файл cookie, но не обязательно), тот, который вошел в систему, может быть возможным для вора использовать этот файл cookie для получите доступ к своей учетной записи.
Хорошо спроектированный сайт не только вызовет тайм-аут сеанса, но и ограничит его единственным IP-адресом (и пользовательским агентом браузера и т. Д.).
Даже проверка IP не делает его безопасным от угона. Если и жертва, и угонщик находятся за одним и тем же маршрутизатором, веб-сервер увидит их как идущие с одного и того же компьютера (так как их публичный IP-адрес будет таким же). Идентификаторы браузера не являются безопасными ... их можно легко подделать. –
Определенно. Защита от повторных попыток в реальном времени сложна. Рекомендуется проверять IP-адрес и т. Д., Но не следует полагаться на них, поскольку они не защищены. –
Как уже отмечалось, это файл cookie на вашей машине.
Способ «взломать» было бы получить доступ к вашей машине, а затем взять копию файла cookie. Или возьмите копию файла cookie, когда он отправляется в браузер.
Чтобы защититься от этого вы можете:
- Отправить печенье к клиенту по протоколу HTTPS.
- Не храните печенье на диске (печенье без тайм-аута будет храниться в памяти)
Блокирование сеанса на один адрес IP, может вызвать проблемы, если пользователи приходят из сети с 2 прокси-серверов.
спасибо всем, ребята. Я еще не сталкивался с какой-либо проблемой. Просто я постоянно обновлялся. –
вам придется понюхать его движение и украсть его куки. Затем, если он не выйдет из системы (так что сервер не заблокирует файлы cookie), вы можете войти в систему с ними
- 1. Можно ли взломать mailto?
- 2. Можно ли взломать AJAX?
- 3. Можно ли взломать файл .htaccess?
- 4. Можно ли взломать GWT Google?
- 5. Можно ли взломать пароль в этой программе?
- 6. Можно ли взломать изолированный компьютер Windows?
- 7. Можно ли получить возраст сеанса?
- 8. ли СХ-заморожена Исполняемые взломать
- 9. Можно ли закодировать значение сеанса в файле erb?
- 10. Можно ли передать значение сеанса из одного браузера другому?
- 11. Можно ли взломать чистый веб-сайт с помощью Apache?
- 12. Переменная сеанса входа пользователя. Можно ли обманывать переменную сеанса? PHP
- 13. Могут ли мои сайты взломать?
- 14. Можно ли отделить объект от сеанса NHibernate?
- 15. Можно ли создать переменную сеанса в потоке?
- 16. Можно ли кэшировать коллекции в кеше сеанса?
- 17. Можно ли определить тайм-аут сеанса?
- 18. Можно ли проверить, изменилось ли значение сеанса в asp.net? Есть ли свойство, подобное грязному флагом?
- 19. Уникальное значение сеанса
- 20. Laravel, проверьте, имеет ли массив сеанса значение
- 21. Возможно ли получить значение сеанса внутри foreach?
- 22. Можно ли получить идентификатор сеанса SQL Server с помощью LINQ?
- 23. Можно ли просматривать данные сеанса с веб-сайта?
- 24. . NET. Как взломать OpenFileDialog?
- 25. можно ли присвоить значение TimeSpan?
- 26. Можно ли изменить значение va_arg?
- 27. Как можно взломать монолитное приложение в веб-сервисы?
- 28. Можно ли отключить триггер Oracle для текущего сеанса?
- 29. Можно ли взломать SHA256, когда вы знаете, что ответ - это координата?
- 30. Переменные сеанса можно одурачить (логин)?
обычные сеансы не взломаны ... они захвачены (очень распространены с кукишками WordPress - который даже не имеет сеансов на стороне сервера). Куки-файлы - это только хранилище сеансов на стороне клиента. –
Переменные 'SESSION' считаются безопасными. Если кто-то входит в систему, и я храню в области сеанса свой идентификатор и их состояние входа в систему. Использование этого идентификатора для запроса данных и возврата данных к ним безопасно? Я бы так подумал, но не уверен. Должен ли я хранить их состояние в БД и использовать это только как статус? Я бы сказал, что СЕССИЯ достаточно безопасна. – Leeish