首页 > session ID会被暴力穷举劫持吗?

session ID会被暴力穷举劫持吗?

如果一个用户登录,会在客户端放一个cookie存session id,那么暴力穷举匹配到这个ID不就会被劫持这个用户登录了?


session id是随机生成的..一般比较简单的是使用哈希算法,然后加salt.配合当前时间共同形成session...所以猜解的可能性基本等于没有
并且session id的长度一般都很长...就是为了防止被爆破...一般都是72位...你可以想象爆破的时间得多长了..等到破解出来了..session早失效了..
所以你想搞到session的方法就得另外想了,比如xss的session劫持..或者中间人截取报文等等...


依赖session存放重要数据,有风险,现在还有通过Session来验证用户权限的?不安全吧亲!

Cookie + Session + OAuth + SSO

在Cookie中,一般会放sessionid和OAuth,session中只放用户的普通操作,比如上次访问的页面,暂存提交的表单数据等,用户登陆的信息,放到加密过的OAuth信息中,参考Discuz Ucenter的authcode实现。


会,如果那个 session id 的随机熵足够少的话,比如这个。如果随机熵太多了,穷举完是很费时间的。

另外要注意正确地比较字符串,不要犯这种错误。

【热门文章】
【热门文章】