2014
06
09

[轉載硬是要學]Session的攻擊與防護

關鍵字:HTTPSession id

一般網站登入會利用session id 判斷使用者的身分,如果session id 被其他人獲得,那其他人就可以使用這個id登入網站獲取資料。

Session 攻擊手法有三種:

1. 猜測 Session ID (Session Prediction)
2. 竊取 Session ID (Session Hijacking)
3. 固定 Session ID (Session Fixation)

不只要防護以上的攻擊,還要做其他的判斷去確認使用者的身分,如IP位址、瀏覽器User-Agent等,使用者其他特有的辨識資訊。
傑立資訊傑立資訊事業有限公司

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:service@julyinfo.com | 臺北市大安區和平東路3段257號6樓map

© 2016 傑立資訊 All rights reserved.法律顧問:宇恒法律事務所