您好、欢迎来到现金彩票网!
当前位置:PC蛋蛋 > 允许重画 >

URL中允许携带sessionid带来的安全隐患。

发布时间:2019-06-30 11:11 来源:未知 编辑:admin

  很多WEB开发语言为了防止浏览器禁止了cookie而无法识别用户,允许在URL中携带sessionid,这样虽然方便,但却有可能引起钓鱼的安全漏洞。

  下图是从测试组发来的安全报告中剪出来的,图有些小问题,本来想重画1个,在visio中没找到合适的图。所以只能用别人的图了。

  4. 黑客把带自己sessionid的地址发送给一般用户。不同的语言带sessionid的方式不一样,着是jsp的方式)

  5. 用户在黑客给的地址中用自己的帐号进行登录,登录成功。(这个时候用户登录的信息就会覆盖黑客之前的登录信息,而且2个人用的是同1个sessionid)   6. 黑客刷新页面,看到的账户信息就是用户的信息了,而不是之前黑客自己帐号的信息。

  要防止这种问题,其实也很简单,只要在用户登录时重置alidate()方法),然后把登录信息保存到新的session中。

  可能你跟我一样,刚开始看到这个时候,就自己去测试到底能不能钓鱼成功,经过我的测试是可以成功的,但测试过程中需要注意下面几个问题:

  1. 要注意你使用的语言是如何在URL中带sessionid。(我测试的时候开始在URL中使用大写的jsessionid,导致一直不起效)

  2. 要页面登录表单的action也带上了jsessionid,不然也没用。对于这个问题你可能觉得如果login.jsp表单的action是写死,而不是读取当前URL的,     可能就不会出现这个钓鱼问题。这只能防住1个方向。黑客可以做1个和login.jsp一模一样的页面(比如,然后把这个地址发个客户,而这个地址中的表单这样写就可以:form action=

  本文转自BearRui(AK-47)博客园博客,原文链接:  ,如需转载请自行联系原作者

  使用的是全志H3的芯片,运行Debian Desktop系统的ARM版本Armbian,要控制外部几个IO口,可以使用很多种方法,如果对GPIO的操作速度有要求就需要使用直接操作内存寄存器的方式来控制...博文来自:欢迎光临

  1.当我们发现无法联网时,我们运行下面命令或者ping命令rnip  addrrnrn结果没有显示局域网的IP地址rn2.我们去修改网卡配置文件,把网络连接打开rncd /rncd  /etc/sys...博文来自:sfeng95的博客

  还记得去年在北京安博会上,看到一些厂家的展示台上,各种船舶、公路、车辆的高清视频直播,好奇这些数据是怎么接到现场的,现场成百上千家展台,不可能有那么大的带宽供应,细想数据肯定不是实时的,果然,盯着看了...博文来自:Babosa的专栏

  jquery/js实现一个网页同时调用多个倒计时(最新的)nn最近需要网页添加多个倒计时. 查阅网络,基本上都是千遍一律的不好用. 自己按需写了个.希望对大家有用. 有用请赞一个哦!nnnn//jsn...博文来自:Websites

  上一篇博客介绍了如何解决Fragment重叠的问题,有需要的同学可以看一下,底部有demo下载。 n直通车:完美解决Fragment重叠本篇博客我们来说一下怎么让fragment重新加载布局资源文件。...博文来自:喻志强的博客

  weixin_44816952:你这篇文章写得比较务实,你看看你上面那两篇写的什么玩意,都不知道要表达什么

  slliu1996:博主,写的非常好理解,感谢!! 另外,有个问题想请教一下博主,比如我对一个N行的数据列用MD5算法做哈希编码,产生M列哈希后的数据,那么如果我把这个数据列一分为二,每一份都是N/2行,然后分别对这两个部分的数据都同样用MD5算法做哈希,也都得到M列哈希后的数据,然后再重新合并成N行,请问这两种情况下,得到的哈希后的数据会一样吗?

http://ammanphoto.com/yunxuzhonghua/132.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有