会话管理缺陷(Session Management Flaws)
主题:
1.会话劫持
概念:
因为HTTP是没有状态的,所以就有了会话管理的概念。服务器通过会话管理,来记忆用户的状态。在用户访问WEB站点的过程中,会话管理对每个用户
都有一个唯一的标识(SessionID),而每当新用户访问网站时,服务器上也会有一个相应的标号来记录。而且该用户所有后续的页面请求都会包含此标号,
这样WEB应用程序就能识别此用户,并记录其状态。服务器端的会话标识可能是通过Cookie、URL(URL重写)、隐藏域的方式保存在浏览器中。通常情况,