什麼是會話控制
SESSION
COOKIE
服務器記錄用戶憑證的一個變量。是一個時域(從用戶登錄到註銷的時間域)
指某些網站爲了辨別用戶身份、進行session跟蹤而儲存在用戶本地終端上的數據(通常經過加密)
Web開發人員要在無狀態的HTTP協議下進行狀態維持和控制用戶的一次會話需要引入其它的機制,這就是 會話管理
在人機交互,會話管理是保持用戶的整個會話活動的互動與計算機系統跟蹤過程。會話管理分類:桌面會話管理、瀏覽器會話管理、Web服務器的會話管理(通常指的SESSION以及COOKIE)。
會話控制包括什麼
會話控制存在的隱患
中間人***
注射式***
獲取用戶登錄憑證
通過攔截正常的網絡通信數據,並進行數據篡改和嗅探,而通信雙方缺毫不知情。(Eg:A和B通信,C通過ARP欺騙A和B,使A認爲C是B,使B認爲C是A,C通過轉發A和B的通信數據,是A和B保持連接,這樣C就可以監聽A和B的通信內容,獲取敏感信息。)
不會改變會話雙方的通訊流,而是在雙方正常的通訊中插入惡意數據。(Eg:SQL注入)
通過修改服務器發給自己的cookie是服務器誤認爲自己是另一外一個用戶。(基本不可能。。。)
通過XSS等手段獲取對方的登錄憑證並且通過修改自己的cookie,是自己可以登錄對方的會話。
Cookie
Session
會話劫持
防禦
會話加密
關閉瀏覽器的第三方cookie
對用戶可以接觸並修改的數據進行過濾