(資料圖)
1、cookie用于交互時(shí)存放在客戶端,即使用你臨時(shí)文件夾中不存在cookie,但在你的瀏覽器進(jìn)程中會(huì)臨時(shí)保存你的cookie!session是交互時(shí)存放在服務(wù)端,即使用不保存,也在服務(wù)進(jìn)程中。
2、如果你對(duì)網(wǎng)頁有交互,服務(wù)器如何在眾多請(qǐng)求中能識(shí)別你那是曾經(jīng)的哪一個(gè)?這依賴于你傳遞上來的cookie,即合沒有任何其他的的交互,在你瀏覽器進(jìn)程中也必須保存諸如sessionID之類的cookie!但這個(gè)是臨時(shí)的,只是為了識(shí)別你到底是誰而已。
3、知道了你是誰,服務(wù)器還需要知道該怎么做,那么在服務(wù)器進(jìn)程中必須存在一個(gè)sessionID,這個(gè)與你請(qǐng)求的相對(duì)應(yīng),然后根據(jù)這個(gè)才知道你是誰,該怎么做。
4、sessionID是你初次請(qǐng)求時(shí)由系統(tǒng)生成,隨網(wǎng)頁流保存在你的瀏覽器進(jìn)程中,以便你在使用postback等回傳功能時(shí)能識(shí)別你!要不然,你回傳了,另外一個(gè)請(qǐng)求卻得到你的回傳反應(yīng),這有點(diǎn)說不過去吧?sessionid相當(dāng)于瀏覽器與服務(wù)進(jìn)程進(jìn)行了一個(gè)簡(jiǎn)單的約定,可以理解為初次服務(wù)器發(fā)給你的一個(gè)通行號(hào)碼,以后你與服務(wù)器的任何交互都依賴于這個(gè)號(hào)碼!而其他的需要長(zhǎng)期保存的一些信息也在cookie中,如用戶名與密碼等等,與這個(gè)通信的結(jié)果是相同的。
5、也就是說cookie與session同時(shí)存在,分別在客戶端與服務(wù)器!如果你通過網(wǎng)絡(luò)嗅探或是其他方式,得到了某一個(gè)瀏覽器正在交互的sessionid以及一些進(jìn)程中保存的session信息,這個(gè)信息在客戶端稱cookie,這服務(wù)器稱session。
6、那么你可以利用這些信息進(jìn)行攻擊。
7、如,在某臺(tái)電腦中保存有某用戶的user與password通行信息時(shí),你可以將自己的cookie違裝成目標(biāo)的cookie,然后可以進(jìn)行登陸,這種攻擊方式叫cookie攻擊!如果他的這些信息保存在了瀏覽器進(jìn)程中,也可以偽造,這種其實(shí)也是cookie攻擊,但由于其不確定性(你還必須拿到sessionid),這種稱為session攻擊。
8、其實(shí)說白了,這種方式在服務(wù)器中直接使用的session[“user"]之類的方式取得的,所以偽造時(shí)連同sessionid一塊偽造,所以才被稱為session攻擊的。
9、由于多標(biāo)簽瀏覽器的存在,還可以進(jìn)行網(wǎng)頁交叉攻擊!。
相信通過cookie和session的區(qū)別及原理這篇文章能幫到你,在和好朋友分享的時(shí)候,也歡迎感興趣小伙伴們一起來探討。
本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!關(guān)鍵詞: