目录:
定义-会话劫持是什么意思?
成功验证客户端登录后,将会话令牌从Web服务器发送到客户端浏览器时,就会发生会话劫持。 会话劫持攻击在通过没收或猜测什么是真实的令牌会话来破坏令牌时起作用,从而获得对Web服务器的未授权访问。 这可能导致会话嗅探,中间人或浏览器人攻击,特洛伊木马程序甚至是恶意JavaScript代码的实现。
Web开发人员尤其要警惕会话劫持,因为用于维持网站会话的HTTP cookie可能会被攻击者盗用。
技术百科解释了会话劫持
在早期,HTTP协议不支持cookie,因此Web服务器和浏览器不包含HTTP协议。 会话劫持的发展始于2000年,当时实施了HTTP 1.0服务器。 HTTP 1.1进行了修改和现代化,以支持超级cookie,这导致Web服务器和Web浏览器更容易受到会话劫持的影响。
Web开发人员可以使用某些技术来帮助避免其站点的会话劫持,包括加密方法以及对会话密钥使用长而随机的数字。 其他解决方案是更改Cookie值请求并在登录后实现会话重新生成。 Firefox扩展Firesheep通过允许访问个人Cookie来启用了公共用户会话劫持攻击。 当用户将Twitter和Facebook等社交网络网站添加到他们的首选项时,它们也很容易受到攻击。
