极客观点
项目管理
HarmonyOS
可以从别的电脑上找session拷备到我电脑上来伪造原电脑用户登陆吗?
这是我一直没理解session的一点。。我说和理论上可以吗?
客户端是通过会话COOKIE来获取服务器的SESSION内容的,所以有了这个会话COOKIE是可以通过其他途径同样获取到SESSION内容的。
当然首先这个SESSION还没被销毁。
可以从别的电脑上找cookie拷备到你电脑上来伪造原电脑用户登陆,一般xss就是用来干这个的。
客户端(也就是原用户的电脑)是没有session的,只有cookie,session存储在服务器中
存在本地客户端的是cookie不是session,cookie中包含sessionid。服务器收到包含sessionid的http请求后,对头字段cookie中的sessionid进行验证,并根据id取出对应的客户数据。
所以是可以伪造的不过不是伪造session而是伪造cookie
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
求java/php大佬帮帮忙?
最近遇到一个需求,需要对接第三方平台,然后对面只给公钥和私钥 ,本身我是用php开发的,第三方的demo 是java 头大完全不知道什么意思,看不懂java写法 有没有大哥帮我写个php的类这是第三方demo提供的加密加签方法以下是完整文件package com.example.guojindemo.utils;1 回答4k 阅读✓ 已解决
新人求看下如何用php对接第三方接口?
新人求解第三方的对接口怎么写curl 求大神写个php 的curl3 回答1.8k 阅读✓ 已解决
Hyperf Swagger 如何使用?
根据 https://hyperf.wiki/3.1/#/zh-cn/swagger?id=hyperf-swagger 官方文档安装配置,但是文档太简单了,出了问题不知道怎么排查,网络文章写的也让人摸不着头脑,不知道别人的json 是怎么生成的。2 回答2.2k 阅读✓ 已解决
axios为何获取不到服务器返回的sessionID?
VUE3项目,后端是thinkphp。现在想在页面上显示一个由thinkphp生成的验证码,使用axios跨域来请求这个验证码接口。现在是验证码图片已经可以显示了,但是就是获取不到请求验证码时服务器生成的sessionID。但是在浏览器F12网络中,可以看到有set-Cookie;就是在axios返回值中没有这项,axios跨域已经设置了,withCredenti...2 回答2.4k 阅读✓ 已解决
Laravel Framework 11.38.2 版本 路由调用api接口报错404?
使用web接口都可以调用但使用api接口就报错web文件api文件这是为什么呢?有大佬知道吗?1 回答1.4k 阅读✓ 已解决
在Windows下开发的gin项目如何不是linux下的宝塔?
在windows下用gin开发了一个电商平台,要如何部署到公司linux服务器上,服务器是用宝塔搭建管理?2 回答2.2k 阅读
在宝塔里这种情况下怎么使用80端口?
在宝塔里有php项目和node项目,问题,在pm2里面的项目怎么可以也用80端口?1 回答569 阅读✓ 已解决
你没弄明白session和cookie的区别. session默认是个会话文件, 存在服务器端的, sessid就是会话文件的唯一标识,也就是文件名. 一般情况是通过cookie来传递sessid的, 因为http协议是无状态的, 所以每次都得传, 才能确定上一个请求和下一个请求的是不是同一个访问者.
那既然用sessid可以标识会话的唯一性, 那你能拿到它,自然也就可以登录别人的网站了. 你自己可以做个实验验证一下, 把
segmentfault网站的cookie中的phpsessid拷贝到另一个浏览器上, 你会发现另一个浏览器也登录了.原理很简单,但是你要利用http协议的不安全来攻击别人, 操作起来就没有那么简单,你要嗅探局域网,如果网站用的是https,你就歇菜了.