我对PHPSESSID漏洞感到困惑。如果我将document.cookie更改为另一个活跃用户的PHPSESSID(在一个简单的社交媒体网站上,如youtube或instagram [只是一个例子]),页面会重新加载我登录到该用户的帐户吗?我是否还需要知道该用户的密码?注意:我不会真的这样做,但我想知道会发生什么。谢谢大家!P.S我不熟悉这个,所以请原谅我的知识不足:)
document.cookie
PHPSESSID
eqqqjvef1#
答案取决于目标站点的安全检查。如果网站假设PHPSESSID cookie足以授权访问,那么是的,窃取某人的会话就足以模拟她,而不需要知道她的密码。但是,研究中心通常会采取其他措施:它们可以检查诸如IP地址或用户代理的其它参数在会话期间是否已经改变,并且如果它们检测到这样的改变,则使会话无效并拒绝访问。会话通常也有到期日,因此如果您从无人值守数小时的浏览器中获取会话cookie,则站点可能会拒绝访问,因为它已过期。你经常看到这与银行网站,将显示一个弹出窗口告诉你,你的会话已过期或即将过期。最后,如果用户注销,一个好的站点将销毁会话。即使你有PHPSESSID cookie,当你把它呈现给服务器时,它也不会找到匹配的会话,因为它已经被销毁了。
1条答案
按热度按时间eqqqjvef1#
答案取决于目标站点的安全检查。
如果网站假设
PHPSESSIDcookie足以授权访问,那么是的,窃取某人的会话就足以模拟她,而不需要知道她的密码。但是,研究中心通常会采取其他措施:它们可以检查诸如IP地址或用户代理的其它参数在会话期间是否已经改变,并且如果它们检测到这样的改变,则使会话无效并拒绝访问。
会话通常也有到期日,因此如果您从无人值守数小时的浏览器中获取会话cookie,则站点可能会拒绝访问,因为它已过期。你经常看到这与银行网站,将显示一个弹出窗口告诉你,你的会话已过期或即将过期。
最后,如果用户注销,一个好的站点将销毁会话。即使你有
PHPSESSIDcookie,当你把它呈现给服务器时,它也不会找到匹配的会话,因为它已经被销毁了。