摘要: Session泄露危害介绍: 一个经验丰富一些的攻击者,往往会自己先访问目标系统,从而从系统处获得一个合法的session标识符,并且保持这个session标识符不过期,然后再使用前面讲过的方式,来使某个目标用户使用攻击者获取的,当前有效的session标识符...
Session泄露危害介绍:
一个经验丰富一些的攻击者,往往会自己先访问目标系统,从而从系统处获得一个合法的session标识符,并且保持这个session标识符不过期,然后再使用前面讲过的方式,来使某个目标用户使用攻击者获取的,当前有效的session标识符来访问目标系统。这种情况下,如果该用户登录后(假设在用户登录时,系统没有重新生成session id),那么攻击者就可以通过同样的session标识符来侵入用户在该系统中的账务,这是很危险的事情,意味着用户的敏感信息会被泄露,或者导致后续更危险的操作的发生。
代码图:
插件详情请点击http://q.bugscan.net/t/850
希望了解更多可访问bugscan官方社区
扫描平台链接https://www.bugscan.net
