關於公開會話SESSION值可能存在被“僞裝”的不安全性的一點想法

    時下，很多網站及網絡管理系統走的是開源的道路。開源，固然很好,可以推動技術、學術交流，促進技術進步；但是往往會有“樹大招風”之險，越是開源的東西免不了會爲很多人去研究、檢測、改進、發展，其健壯性、安全性當然就更高的要求。
    與此同時，爲了省事，很多人喜歡把開源的系統直接拿來使用，有些只改了小部分的內容，如標題等，而那些具有重要性能的部分繼續沿用原來的內容，如檢驗用戶是否登錄的session會話等頁面沒有重新設置。這樣，就可能存在一些不可避免的風險。下面僅就session做以簡單探討：
    如某開源網站的後臺登錄檢驗過程爲：檢驗會話SESSION("DENLGU")是否爲空，大家一看到這個模式的網站就大概知道了這個開源網站的後臺文件的位置和身份驗證會話的值。這個時候，如果利用某些漏洞將一個包含爲此會話賦值的asp文件上傳到此站的某個位置，然後執行一下以後此會話值就不爲空了，那麼就有進入此網站後臺的可能性。
    當然，前提是要能利用此網站的上傳文件漏洞，這裏只是做以簡單探討。