我对 PHPSESSID 漏洞感到困惑。如果我将 document.cookie 更改为另一个活跃用户的(在像 youtube 或 instagram 这样的简单社交媒体网站上 [只是一个例子])PHPSESSID,页面会随着我重新加载吗登录到该用户的帐户?我还需要知道该用户的密码吗?注意:我实际上不会那样做,但我想了解会发生什么。谢谢!
P.S 我不熟悉这个所以请原谅我缺乏知识:)
最佳答案
答案取决于目标站点的安全检查。
如果站点假定 PHPSESSID cookie 足以授权访问,那么窃取某人的 session 就足以冒充她,而无需知道她的密码。
不过,网站通常有额外的措施:它们可能会检查 IP 地址或用户代理等其他参数在 session 期间是否发生了变化,如果检测到此类变化,则使 session 无效并拒绝访问。
session 通常也有过期时间,因此如果您获得 session cookie,比如说从一个无人值守数小时的浏览器中获取,该站点可能会拒绝访问,因为它已过期。您经常会在银行网站上看到这种情况,这些网站会显示一个弹出窗口,告诉您您的 session 已过期或即将过期。
最后,如果用户注销,一个好的站点会破坏 session 。即使您有 PHPSESSID cookie,当您将它呈现给服务器时,它也不会找到匹配的 session ,因为它会被销毁。
关于PHP PHPSESSID 利用困惑,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38863924/