Session劫持攻擊

攻擊者利用各類手段來獲取目標用戶的session id。一旦獲取到session id,那麼攻擊者能夠利用目標用戶的身份來登陸網站,獲取目標用戶的操做權限。網絡

攻擊者獲取目標用戶session id的方法

  • 暴力破解:嘗試各類session id,直到破解爲止;
  • 計算:若是session id使用非隨機的方式產生,那麼就有可能計算出來;
  • 竊取:使用網絡截獲,xss攻擊等方法得到

防範方法

  • 按期更改session id
  • 更改session的名稱
  • 關閉透明化session id
  • 設置HttpOnly。
    • 經過設置Cookie的HttpOnly爲true,
    • 能夠防止客戶端腳本訪問這個Cookie,
    • 從而有效的防止XSS攻擊。
相關文章
相關標籤/搜索