[LitCTF 2023]Flag点击就送！--session伪造

【python】Flask之session使用_python flask session-优快云博客

[LitCTF 2023]Flag点击就送！（cookie伪造）_[litctf 2023]flag点击就送!-优快云博客

[LitCTF 2023]Flag点击就送！

打开环境，输入1看一下

---

继续点击拿flag

他提示只有管理员才能拿到flag

 输入admin看一下

还是不行，但是我们在cookie里发现了东西：

session=eyJuYW1lIjoiMSJ9.Zh966A.NxRd8ILBNVdX5EZWUDtMS0J7vrQ

想到了session伪造

知识点

关于session

session是计算机科学中的一个重要概念，通常用于描述客户端与服务器之间的交互过程。在网络应用程序中，会话通常用来跟踪用户在一段时间内的活动状态。

在Web开发中，会话通常指的是服务器上存储的关于特定用户会话状态的信息。这些信息可以包括用户的登录状态、购物车内容、个性化设置等。会话通过使用会话标识符来区分不同的用户，这个标识符通常是通过cookie或URL参数来传递的。

session可以存储在服务器的内存中、数据库中或者是文件系统中。一般来说，会话数据的存储位置会根据应用程序的需求和性能要求来确定。

使用session能够使得应用程序在用户交互过程中保持状态，并且可以实现用户认证、授权、跟踪用户活动等功能。但是需要注意的是，会话数据的安全性是非常重要的，特别是涉及到用户隐私信息的存储和传输时，需要采取适当的安全措施来保护用户数据的安全。

session的作用主要包括以下几个方面：

1. 用户身份认证和授权管理：会话可以用于跟踪用户的登录状态，确保用户在访问受限资源时能够被正确认证和授权。通过会话，服务器可以知道用户是否已经登录，以及用户拥有的权限是什么。

2. 状态管理：会话可以用来跟踪用户在应用程序中的活动状态。例如，购物车中的商品、表单中已填写的数据等都可以存储在会话中，以便用户在浏览不同页面时保持一致的状态。

3. 个性化设置：应用程序可以根据用户的偏好和历史行为来提供个性化的服务。通过会话，可以存储用户的偏好设置，以便在用户下次访问时能够提供相应的个性化体验。

4. 跟踪用户活动：通过记录会话信息，可以了解用户在应用程序中的行为和活动轨迹。这对于分析用户行为、优化用户体验以及改进产品功能都是非常有价值的。

5. 安全性：在某些情况下，会话可以增强应用程序的安全性。例如，可以使用会话