1. Pengenalan
Penetapan Sesi ialah teknik yang membolehkan penggodam merampas sesi pengguna. Teknik ini mengambil kesempatan daripada fakta bahawa pelayan tidak mengubah nilai ID sesi setiap kali pengguna log masuk, sebaliknya ia menggunakan ID sesi yang sedia ada. Proses serangan termasuk mendapatkan ID sesi yang sah (mungkin dengan mengakses tapak web ), kemudian mencari jalan untuk mangsa log masuk ke tapak web dengan ID sesi ini, dan akhirnya, apabila mangsa berjaya log masuk. , penggodam akan menyemak imbas laman web dengan akaunnya. Senario khusus adalah seperti berikut:
Mallory menemui tapak web, seperti http://unsafe.example.com, yang menerima sebarang ID sesi daripada permintaan tanpa pengesahan.
Mallory akan menghantar e-mel kepada Alice, yang mengandungi pautan http://unsafe.example.com/?SID=1234.
Alice pergi ke http://unsafe.example.com/?SID=1234. Kemudian log masuk ke laman web.
Mallory hanya pergi ke http://unsafe.example.com/?SID=1234, dan menggunakan tapak web dengan akaun Alice.
Mallory boleh menggunakan kaedah berikut untuk menetapkan kuki untuk Alice:
Sertakan skrip untuk menetapkan kuki
Hantar paket Respons HTTP dengan nilai kuki MalloryHantar paket Respons HTTP dengan nilai kuki Mallory
Gunakan tag meta HTML:
2. Contoh
Contoh 1 – Penskripan sisi pelanggan
Sama seperti senario yang dinyatakan di atas, walau bagaimanapun, dalam kes ini, ID Sesi tidak dihantar dalam URL tetapi dalam kuki. Untuk mengedit nilai ID Sesi dalam kuki mangsa, penggodam akan memasukkan sekeping Javascript:
http://website.kom/document.cookie=”sessionid=abcd”;
Contoh 2 - tag
Sama seperti skrip sebelah pelanggan, tetapi kali ini penggodam akan memasukkan tag tambahan:
http://website.kon/
Contoh 3 – Respons pengepala HTTP
Penyisipan ID Sesi juga boleh dilakukan dengan memintas paket yang ditukar antara klien dan aplikasi Web, kemudian memasukkan medan Set-Cookie ke dalam pengepala.
3. Cara mencegah
Punca ralat ini adalah kerana pelayan tidak menjana semula ID sesi selepas setiap log masuk yang berjaya. Oleh itu, membetulkan ralat ini tidak sukar, kita hanya perlu menukar nilai ID Sesi dan itu sahaja. Dalam PHP, kami menggunakan fungsi session_regenerate_id() untuk menjana semula sesi.
Adakah anda melihat pemberitahuan pengaktifan Windows 10 di sudut kanan skrin? Artikel ini akan membimbing anda cara memadamkan notis permintaan hak cipta pada Windows 10.
Baru-baru ini Microsoft mengeluarkan kemas kini kumulatif terkini untuk pengguna PC Windows 10 yang dipanggil Build 14393.222. Kemas kini yang dikeluarkan untuk Windows 10 ini terutamanya membetulkan pepijat berdasarkan maklum balas pengguna dan meningkatkan pengalaman prestasi sistem pengendalian.
Adakah anda mempunyai komputer pada rangkaian tempatan anda yang memerlukan akses luaran? Menggunakan hos benteng sebagai penjaga pintu untuk rangkaian anda boleh menjadi penyelesaian yang baik.
Kadangkala anda mungkin perlu memadamkan log peristiwa lama sekaligus. Dalam panduan ini, Quantrimang.com akan menunjukkan kepada anda 3 cara untuk memadam semua log peristiwa dalam Windows 10 Event Viewer dengan cepat.
Jika anda lebih suka menggunakan papan kekunci klasik lama, seperti IBM Model M, yang tidak termasuk kekunci Windows fizikal, terdapat kaedah mudah untuk menambah lagi, dengan meminjam kunci yang anda jarang gunakan. .
WindowTop ialah alat yang mempunyai keupayaan untuk meredupkan semua tetingkap aplikasi dan program yang dijalankan pada komputer Windows 10. Atau anda boleh menggunakan antara muka latar belakang gelap pada tingkap.
Dalam banyak artikel sebelumnya, kami telah menyebut bahawa kekal tanpa nama dalam talian adalah sangat penting. Maklumat peribadi dibocorkan setiap tahun, menjadikan keselamatan dalam talian semakin diperlukan. Itulah juga sebab kita harus menggunakan alamat IP maya. Di bawah, kita akan belajar tentang kaedah untuk mencipta IP palsu!
Bar Bahasa pada Windows 8 ialah bar alat bahasa kecil yang direka untuk dipaparkan secara automatik pada skrin Desktop. Walau bagaimanapun, ramai orang ingin menyembunyikan bar bahasa ini pada Bar Tugas.
Memaksimumkan kelajuan Internet adalah penting untuk mengoptimumkan sambungan rangkaian anda. Anda boleh menikmati hiburan dan pengalaman kerja yang optimum menggunakan komputer, TV sedia Internet, konsol permainan, dsb.
Kesambungan wayarles adalah satu keperluan hari ini dan kerana itu, keselamatan wayarles adalah penting untuk memastikan keselamatan dalam rangkaian dalaman anda.
