http连接是无状态的,但web程序交互中经常又需要状态。所以目前流行的基本是Cookie,Session结合方式来管理,Cookie中会带一个会话标识,如果不用cookie,可能会将会话标识跟在地址栏后面。但也有不通过Session这样方式的,使用自定义的方式来维护状态。但有一点一定要注意,不能用递增的明码ID来做会话状态标识,危险性太大。下面举例说明。
前些时间,发现有个网站,是flash做的游戏,因为玩了游戏,有积分,积分呢可以抽奖,具体什么网站我就不透露了~~
于是,我就搞个程序玩,下了flash研究了下源码,配合firebug看看网络收发网络数据,惊奇的发现该网站维持用户会话是使用递增的ID,也就是说,我只要发个Cookie,带上userID,我就可以去提交积分了,连登录都不用登了。抽奖品也需要人品的,所以获不获奖是另外一码事,但写这样的程序还是有乐趣的~~
事后,我一想,如果是这样的话,那我岂不是可以伪造任何人的信息了么?因为Cookie可以用js来增删改的。
我随即验证了下,发现想法成立,然后我就再也不敢往下研究了。。。本来是娱乐玩,如果这样深入下去想搞破坏也不是难事。因为我可以遍历出所有用户的信息,然后,可以以这些用户的身份提交虚假信息。也就是说,我可以把中奖人的联系方式给改掉。提交成我的或者错误都有可能。但我不敢研究下去了。到此为止,这样下去,一是我品格不允许,二是可能会搞出事情来,毕竟我只是名普通的程序员,家有妻儿,我不要搞出什么事情来。。。
不知道是不是flash与后台交互时,这方面有什么障碍。我不太清楚网站方为何是用递增ID来维持会话的。
但不管怎样,请记住一点,千万不可用明码递增的标识来标识会话。太不安全,太危险了,后患无穷。至少也加个密是吧!
扫一扫
388
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
