session ID会被暴力穷举劫持吗?
如果一个用户登录,会在客户端放一个cookie存session id,那么暴力穷举匹配到这个ID不就会被劫持这个用户登录了?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
如果一个用户登录,会在客户端放一个cookie存session id,那么暴力穷举匹配到这个ID不就会被劫持这个用户登录了?
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(3)
session id是随机生成的..一般比较简单的是使用哈希算法,然后加salt.配合当前时间共同形成session...所以猜解的可能性基本等于没有
并且session id的长度一般都很长...就是为了防止被爆破...一般都是72位...你可以想象爆破的时间得多长了..等到破解出来了..session早失效了..
所以你想搞到session的方法就得另外想了,比如xss的session劫持..或者中间人截取报文等等...
会,如果那个 session id 的随机熵足够少的话,比如这个。如果随机熵太多了,穷举完是很费时间的。
另外要注意正确地比较字符串,不要犯这种错误。
依赖session存放重要数据,有风险,现在还有通过Session来验证用户权限的?不安全吧亲!
Cookie + Session + OAuth + SSO
在Cookie中,一般会放sessionid和OAuth,session中只放用户的普通操作,比如上次访问的页面,暂存提交的表单数据等,用户登陆的信息,放到加密过的OAuth信息中,参考Discuz Ucenter的authcode实现。