Session劫持攻擊

攻擊者利用各類手段來獲取目標用戶的session id。一旦獲取到session id，那麼攻擊者能夠利用目標用戶的身份來登陸網站，獲取目標用戶的操做權限。

攻擊者獲取目標用戶session id的方法

• 暴力破解:嘗試各類session id，直到破解爲止;
• 計算:若是session id使用非隨機的方式產生，那麼就有可能計算出來;
• 竊取:使用網絡截獲，xss攻擊等方法得到

防範方法

• 按期更改session id
• 更改session的名稱
• 關閉透明化session id
• 設置HttpOnly。
  • 經過設置Cookie的HttpOnly爲true，
  • 能夠防止客戶端腳本訪問這個Cookie，
  • 從而有效的防止XSS攻擊。