攻擊者利用各類手段來獲取目標用戶的session id。一旦獲取到session id,那麼攻擊者能夠利用目標用戶的身份來登陸網站,獲取目標用戶的操做權限。網絡
攻擊者獲取目標用戶session id的方法
- 暴力破解:嘗試各類session id,直到破解爲止;
- 計算:若是session id使用非隨機的方式產生,那麼就有可能計算出來;
- 竊取:使用網絡截獲,xss攻擊等方法得到
防範方法
- 按期更改session id
- 更改session的名稱
- 關閉透明化session id
- 設置HttpOnly。
- 經過設置Cookie的HttpOnly爲true,
- 能夠防止客戶端腳本訪問這個Cookie,
- 從而有效的防止XSS攻擊。