`
Callan
  • 浏览: 736606 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

Cookie和会话状态的工作原理及Cookie欺骗

    博客分类:
  • web
阅读更多

解读session

session是一种保存上下文信息的机制,它是针对每一个用户变量的值保存在服务器端,通过SessionID来区分不同的客户,session是以Cookie或URL重写为基础。默认使用Cookie

来实现,系统会创造一个名为JSESSIONID的输出Cookie,或称为"Session Cookie",以区别Persistent Cookies(通常所说的Cookie,cookic的状态分为持久化cookie与非持久化

cookie).Session Cookie是存储在浏览器中,并不是写在硬盘上的,但是把浏览器的Cookie禁止后,使用response对象的encodeURL或encodeRedirectURL方法编码URL,WEB服务器

会采URL重写的方式传递Sessionid,用户就可以在地址栏看到jsessionid=A09JHGHKHU68624309UTY84932之类的字符串。

通常Session Cookie是不能跨窗口使用,当用户新开了一个浏览器进入相同的页面时,系统会赋予用户一个新的SessionID,这样信息共享的目的就达不到,此时可以把SessionID

保存在Persistent Cookie中,然后再新的窗口中读出来,就可以得到上一个窗口的SessionID了,这样通过Session Cookie和Persistent Cookie的结合,实现了跨窗口的会话跟踪。


session的工作原理
就session的实现而言,好像是这样的:
(1)当有Session启动时,服务器生成一个唯一值,称为SessionID(好像是通过取进程ID的方式取得的)。
(2)然后,服务器开辟一块内存,对应于该SessionID。
(3)服务器再将该SessionID写入浏览器的cookie(一些在网页的源代码中有所体现)。
(4)服务器内有一进程,监视所有Session的活动状况,如果有Session超时或是主动关闭,服务器就释放该内存块。
(5)当浏览器请求的,服务器就读浏览器Cookie中的SessionID。
(6)然后,服务检查该SessionID所对应的内存是否有效。
(7)如果有效,就读出内存中的值。
(8)如果无效,就建立新的Session。


注意:
(1)在大浏览量的网站,Session并不保险,我们过去的网站就经常碰到存在Session中得值不正确(可能出现重复的Session ID)。
(2)Session ID不能从硬盘上的Cookie文件获得,如果想在客户端获知自己的Session ID,只能通过JavaScript来读取。


Cookie和会话状态
做BS开发,这两个概念必不可少,先来个大概了解,没有实际应用很难深入,深入看参考地址!
什么是 Cookie?
Cookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递。用户每次访问站点时,Web 应用程序都可以读取 Cookie 包含的信息。 Cookie 的基本工作

原理如果用户再次访问站点上的页面,当该用户输入 URLwww.*****.com时,浏览器就会在本地硬盘上查找与该 URL 相关联的 Cookie。如果该 Cookie 存在,浏览器就将它与页面

请求一起发送到您的站点。

Cookie 有哪些用途?
最根本的用途是:Cookie 能够帮助 Web 站点保存有关访问者的信息。更概括地说,Cookie 是一种保持Web 应用程序连续性(即执行“状态管理”)的方法.使 Web 站点记住您.

 

分享到:
评论

相关推荐

    桂林老兵cookie欺骗工具

    6. **教育与研究**:除了实际的攻击,该工具也可以作为教学材料,帮助学习者理解Cookie欺骗的工作原理和防范措施。 使用说明.txt文件可能包含了如何安装、运行以及利用桂林老兵Cookie欺骗工具的具体步骤和注意事项...

    老兵cookie欺骗.rar

    5. **教学材料**:由于与教育平台相关,工具可能附带了教程或文档,解释了cookie欺骗的工作原理,以及如何在DVWA中利用这些知识。 6. **自动化攻击**:高级的工具可能会有自动化功能,能够批量测试多个cookie或针对...

    cookie 修改欺骗必备工具

    这就是所谓的Cookie欺骗。因此,了解如何修改Cookie并识别潜在的安全风险至关重要。 Cookie修改欺骗工具通常具备以下功能: 1. 查看和编辑:这类工具允许用户查看已存储在浏览器中的所有Cookie,并对特定Cookie的...

    cookie欺骗

    下面将详细阐述Cookie欺骗的基本原理、常见类型以及如何防范。 **基本原理:** Cookie是Web服务器存储在用户浏览器上的小数据片段,用于跟踪用户状态和偏好。当用户访问一个网站时,服务器会发送Cookie到用户的...

    cookie欺骗教程.doc

    下面将深入探讨Cookie的工作原理、Cookie欺骗的技术细节以及防范措施。 ### Cookie的工作原理 Cookie是由服务器生成并发送到用户浏览器的小文本文件,通常包含用户的登录信息、偏好设置或其他状态信息。当用户访问...

    COOKIE注入原理动画教程

    1. **Cookie的工作机制**:首先,我们需要了解Cookie是如何被创建、存储和发送到服务器的,以及它在用户身份验证和会话管理中的作用。 2. **注入攻击过程**:攻击者如何构造恶意的Cookie值,这些值可能包含SQL语句...

    桂林老兵cookie欺骗

    【桂林老兵cookie欺骗】是一种网络安全测试技术,主要针对网站的cookie管理机制进行...了解并掌握这些知识点,可以帮助开发者和安全人员更好地保护他们的网站免受cookie欺骗的威胁,同时也提醒用户重视在线隐私和安全。

    Cookie在线注入工具

    4. **限制Cookie的生命周期**:不要设置过长时间的会话Cookie,以防被长期利用。 5. **使用CSRF令牌**:防止跨站请求伪造(CSRF)攻击,每页都应有独一无二的CSRF令牌。 6. **更新和维护**:定期更新服务器端代码,...

    session和cookie详解

    - **Persistent Cookie**:相对不安全,因为它存储在客户端硬盘上,容易受到Cookie欺骗或跨站脚本攻击。 总之,在实际开发中,应根据应用的具体需求来合理选择和配置Session与Cookie。对于涉及敏感信息的应用,建议...

    带你了解session和cookie作用原理区别和用法

    - **安全性**:由于Cookie存储在客户端,容易被第三方获取,存在安全风险,例如cookie欺骗,可能导致用户身份被盗用。 2. **Session** - **概念**:Session是服务器端存储用户数据的一种方法,它在服务器上创建一...

    session与cookie

    而Cookie存储在客户端,容易受到Cookie欺骗和跨站脚本攻击。不过,结合使用Session和Persistent Cookie可以提高会话跟踪的灵活性,但同时也增加了一定的安全风险。 总结来说,Session和Cookie各有优缺点,选择哪种...

    cookie查看器

    **一、Cookie的工作原理** 1. **信息存储**:当用户访问一个网站时,服务器可能向用户的浏览器发送Cookie。这些Cookie包含了识别用户会话的信息,如用户ID、偏好设置等。 2. **会话管理**:Cookie帮助网站记住用户...

    多种注入中转 cookie put get...

    在网络安全领域,"多种注入中转 cookie put get..."这一标题和描述暗示了我们讨论的主题集中在Web应用安全上的几种常见的攻击手段,特别是关于数据注入和会话管理的问题。以下是这些概念的详细解释: 1. **数据注入...

    cookie注入中转

    Cookie是Web服务器在用户浏览器上存储的一小段数据,用于维持用户的会话状态、个性化设置等。然而,当网站的Cookie管理不当时,可能导致敏感信息泄露或身份伪造,进而被攻击者利用。Cookie注入中转就是这种攻击方式...

    cookie、sessionStorage和localStorage的区别

    工作原理** - **Cookie**: 依赖于HTTP请求头部,随每次请求发送。 - **Session**: 依赖于服务器端创建和维护Session ID,并通过Cookie或其他方式传递给客户端。 **10. 兼容性** - **Cookie**: 所有现代浏览器都...

    E022-渗透测试常用工具-使用ferret进行Cookie劫持.pdf

    在这个过程中,使用了ferret工具来执行Cookie劫持,这是一种常见的攻击手段,用于获取用户的登录凭据,特别是那些存储在Cookie中的会话ID。以下是整个过程的详细解释: 1. **环境准备**: 在这个场景中,我们有两...

    PHP的cookie与session原理及用法详解

    本文实例讲述了PHP的cookie与session原理及用法。分享给大家供大家参考,具体如下: 产生背景 HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味...

    深入解析Session工作原理及运行流程

    在这里,我们深入解析了Session的工作原理及运行流程,了解了Session的概念和特点,为什么要使用Session,Session与Cookie的区别,Session的生命周期等知识点。这将有助于我们更好地理解和使用Session技术。

    webgoat——Session Management Flaws会话管理缺陷

    WebGoat的这个练习让学习者亲身体验攻击者和受害者两个角色,以更好地理解会话固定的工作原理和危害。 综上所述,会话管理是Web应用程序安全的重要组成部分,包括正确生成和保护Session ID,以及处理认证Cookie。...

    【猫客工作室】xss跨站进行cookies欺骗进后台

    标题与描述均提到了...总之,“猫客工作室”通过XSS攻击进行Cookies欺骗的案例,不仅揭示了Web应用安全的重要性和复杂性,也提醒我们在开发和使用网络服务时必须时刻警惕,采取有效的安全措施来保护用户的信息安全。

Global site tag (gtag.js) - Google Analytics