访客能够通过猜测的方式伪造出一个正确的session id并进行不好的行为吗?


这种情况发生的可能性大吗?我们需要采取额外的措施来防止这种情况吗?


session伪造攻击


例如的session是26位的16进制,那就有 26^16=43608742899428874059776 的总范围,我们假设这里面有 1百万 个有效的,已登陆的session_id,那就表示我们随机一个session_id就有 1/43608742899428874 也就是四千亿亿分之一的几率得到一个已登陆用户 :)

上面php自带的26位session_id的情况,如果彩票中了500万,还可以试着玩一下。但是如果是laravel这样的框架,它的sessionid总量是 275^16=1.0698505179856941336765885353088e+39 ,这是多少分之一的几率原谅我算不出来。

综上所诉,这么低的几率,还不如去穷举账号密码来的划算。end



相关阅读:
react中const {dispatch} = this.props;
tomcat配置问题
vue-router如何将接口返回的数据传给组件初始化
为什么我的程序跑的很慢?
刚入门PHP,是否有必要学习JAVA
JS prototype原型问题
关于移动端localstorage 手机浏览器无效果
PHP中的$_REQUEST和$_POST|$_GET有什么区别??
react这个错是什么意思,要怎么解决
.htaccess 文件导致的自动加载问题
百度数据图谱的插件
用angularjs怎么获取到data对象里的HeWeather data service 3.0对象里的数据?
router-link 阻止默认的点击事件么?
点击按钮的跳转ui-sref后进入的页面报错,是什么原因呢?
本地测试需要htpps,怎么解决?
jdk1.8关于持久化的api是哪个?为什么在javax包下找不到persistence这个类?
vue里模版如何转字符串
出现resolve-url-loader cannot operate:source-map error
css实现六边形带图片展示
关于react 一个问题(Render HTML string w/JSX expression)



快速导航

Copyright © 2016 phpStudy |