【问题标题】:If a hacker manage to get my session token. then does that mean my account can be compromised?如果黑客设法获得我的会话令牌。那么这是否意味着我的帐户可能会被盗用?
【发布时间】:2018-03-05 18:21:28
【问题描述】:

Web 应用程序通过 cookie 管理和识别它的客户端。会话维护也基于 cookie。如果攻击者设法读取了我的 cookie(显然他可以通过数据包嗅探),那么他可以使用该详细信息登录到我的帐户??应用服务器如何防止这种情况发生?

【问题讨论】:

  • 您的连接是否通过 SSL 完成?
  • 如果攻击者监视我的 ssl 握手..他可以获得密钥和其他解密设置..我错了吗??@MateuszMrozewski
  • 看看这个帖子里的解释:security.stackexchange.com/questions/8145/…
  • 好的正常连接会发生什么??我的意思是非ssl连接??
  • 在非 SSL 连接中,您网络上的任何人都可以嗅探您的流量并查看所有内容。

标签: security web-applications


【解决方案1】:

这可能是不可能的。服务器不会仅通过会话值(cookie 值)来识别客户端。除了会话值之外,服务器还使用客户端 ip 等附加信息来确定会话值(cookie 值)是否有效。如果攻击者使用中间人攻击 (MITM) 参与了第一个会话,则服务器知道攻击者的 IP 作为客户端 IP,并信任攻击者提供的信息。 攻击会成功。

但是,如果您使用 SSL 进行连接,攻击将会失败。

您可以想象,如果仅使用 cookie 值副本就可以成功攻击,那么任何不使用 https 的服务都可以破解。网络技术经过精心设计,不易被黑客入侵。

查看this page

【讨论】:

    猜你喜欢
    • 2020-08-09
    • 2012-07-01
    • 2015-04-26
    • 2021-02-22
    • 1970-01-01
    • 2018-12-22
    • 2017-12-18
    • 1970-01-01
    • 2021-07-10
    相关资源
    最近更新 更多