什么是会话控制
SESSION
COOKIE
服务器记录用户凭证的一个变量。是一个时域(从用户登录到注销的时间域)
指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)
Web开发人员要在无状态的HTTP协议下进行状态维持和控制用户的一次会话需要引入其它的机制,这就是 会话管理
在人机交互,会话管理是保持用户的整个会话活动的互动与计算机系统跟踪过程。会话管理分类:桌面会话管理、浏览器会话管理、Web服务器的会话管理(通常指的SESSION以及COOKIE)。
会话控制包括什么
会话控制存在的隐患
中间人***
注射式***
获取用户登录凭证
通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信双方缺毫不知情。(Eg:A和B通信,C通过ARP欺骗A和B,使A认为C是B,使B认为C是A,C通过转发A和B的通信数据,是A和B保持连接,这样C就可以监听A和B的通信内容,获取敏感信息。)
不会改变会话双方的通讯流,而是在双方正常的通讯中插入恶意数据。(Eg:SQL注入)
通过修改服务器发给自己的cookie是服务器误认为自己是另一外一个用户。(基本不可能。。。)
通过XSS等手段获取对方的登录凭证并且通过修改自己的cookie,是自己可以登录对方的会话。
Cookie
Session
会话劫持
防御
会话加密
关闭浏览器的第三方cookie
对用户可以接触并修改的数据进行过滤