(資料圖)
1、cookie用于交互時存放在客戶端,即使用你臨時文件夾中不存在cookie,但在你的瀏覽器進(jìn)程中會臨時保存你的cookie!session是交互時存放在服務(wù)端,即使用不保存,也在服務(wù)進(jìn)程中。
2、如果你對網(wǎng)頁有交互,服務(wù)器如何在眾多請求中能識別你那是曾經(jīng)的哪一個?這依賴于你傳遞上來的cookie,即合沒有任何其他的的交互,在你瀏覽器進(jìn)程中也必須保存諸如sessionID之類的cookie!但這個是臨時的,只是為了識別你到底是誰而已。
3、知道了你是誰,服務(wù)器還需要知道該怎么做,那么在服務(wù)器進(jìn)程中必須存在一個sessionID,這個與你請求的相對應(yīng),然后根據(jù)這個才知道你是誰,該怎么做。
4、sessionID是你初次請求時由系統(tǒng)生成,隨網(wǎng)頁流保存在你的瀏覽器進(jìn)程中,以便你在使用postback等回傳功能時能識別你!要不然,你回傳了,另外一個請求卻得到你的回傳反應(yīng),這有點(diǎn)說不過去吧?sessionid相當(dāng)于瀏覽器與服務(wù)進(jìn)程進(jìn)行了一個簡單的約定,可以理解為初次服務(wù)器發(fā)給你的一個通行號碼,以后你與服務(wù)器的任何交互都依賴于這個號碼!而其他的需要長期保存的一些信息也在cookie中,如用戶名與密碼等等,與這個通信的結(jié)果是相同的。
5、也就是說cookie與session同時存在,分別在客戶端與服務(wù)器!如果你通過網(wǎng)絡(luò)嗅探或是其他方式,得到了某一個瀏覽器正在交互的sessionid以及一些進(jìn)程中保存的session信息,這個信息在客戶端稱cookie,這服務(wù)器稱session。
6、那么你可以利用這些信息進(jìn)行攻擊。
7、如,在某臺電腦中保存有某用戶的user與password通行信息時,你可以將自己的cookie違裝成目標(biāo)的cookie,然后可以進(jìn)行登陸,這種攻擊方式叫cookie攻擊!如果他的這些信息保存在了瀏覽器進(jìn)程中,也可以偽造,這種其實(shí)也是cookie攻擊,但由于其不確定性(你還必須拿到sessionid),這種稱為session攻擊。
8、其實(shí)說白了,這種方式在服務(wù)器中直接使用的session[“user"]之類的方式取得的,所以偽造時連同sessionid一塊偽造,所以才被稱為session攻擊的。
9、由于多標(biāo)簽瀏覽器的存在,還可以進(jìn)行網(wǎng)頁交叉攻擊!。
相信通過cookie和session的區(qū)別及原理這篇文章能幫到你,在和好朋友分享的時候,也歡迎感興趣小伙伴們一起來探討。
本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!關(guān)鍵詞: