目录
1.会话劫持
1.概念
会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。
2.攻击步骤
目标用户需要先登录站点
登录成功后,该用户会得到站点提供的一个会话标识SessionID
攻击者通过某种攻击手段捕获Session ID
攻击者通过捕获到的Session ID访问站点即可获得目标用户合法会话
#Session ID一般都设置在cookie中。
3.如何获取cookie
1.了解cookie接口
找到Session ID位置
2.进行破解
暴力破解:尝试各种Session ID,直到破解为止
预测:如果Session ID使用非随机的方式产生,那么就有可能计算出来
窃取:XSS攻击、使用网络嗅探(中间人攻击)等方法获得
4.危害
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
