Session的小测试

最新推荐文章于 2024-05-16 08:00:00 发布
最新推荐文章于 2024-05-16 08:00:00 发布
阅读量1.2k 收藏 8
点赞数
分类专栏: web后端 文章标签: session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36922927/article/details/84109167
版权

在网站项目中,session担任了一个很重要的角色,他代表了当前用户的标识信息

但是前端是静态页面。怎么能知道是哪一个session呢?或者是后台收到request请求,那么如何知道这个request是哪一个用户(session)提交的呢?

这就有个问题了。

如何找到session?

session有一个id,这是一个唯一的标识,当会话(session created)被创建,就会得到一个唯一id,然后将这个id保存到cookie,也就是name=JSESSIONID 的cookie,前端每次请求,后台就根据request中带来的cookie是否有session的id,没有,就创建一个session,同时返回response中写回到客户端浏览器。

为了验证这个猜测:

做出以下实验:

接口后台:

实验1:不禁用浏览器cookie

连续两次调用同一个接口,这个接口返回当前session 的id

第一次:

第二次:

查看浏览器cookie:果然JSESSIONID和sessionid一致

实验2:将cookie全部禁用,

使用火狐浏览器开发者版,,测试接口调用

第一次:

第二次:

结果:

控制台没有cookie,并且每次调用后台返回的session id不同。

实验3:仿造session

使用postman 将实验1中得到的session id 拷贝到postman工具中,测试接口调用

结果:

结论:

此次表明:如果后台检查request中带到的cookie中的session id 如果是正常的,未过期的,就不会创建新的session

那么,如果session id随便输入一串字符呢,后台是不是应该创建新的session?

测试:jsession 改为:把刚才postman中的session id最后一位改变为7

发现如果篡改成一个没有产生过的sessionid,后台会创建新的session。

总结:

1,客户端访问后台,后台根据request是否带有有效的session id来决定是否产生新的session,

2,如果禁用cookie,那么用户的的登录状态无法得到保证

3,session 可以被仿造,拿到已登录用户的session id就可以免登录(嘿嘿,突然有个大胆的想法,这个能有什么方式去避免呢?)

 

大卫不加班
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全测试初探(二)session测试
Linfosheng1的博客
04-01 1685
1.1.Session会话固定测试 1.1.1测试原理和方法 Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出系统时应将客户端session认证属性标识清空。如果未能及时清空客户端session标识,下次登录时系统会重复利用该session标识进行认证会话。攻击者可以利用该漏洞生成固定的session会话,诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取...
session测试测试
狂飙兔的博客
10-20 7884
session测试测试点 1.session的创建时间点 是打开浏览器访问开始创建session?还是用户登陆时开始创建session? 还是其它情况下创建的 2.session的删除时间点 过期文件是否删除, 关闭浏览器时,session是否会删除?当有多个窗口时,是全部关掉还是关掉一个会删除session? 3.session超时 基于Session原理,需要验证系统sessi
单元测试添加Session
韩盼盼的小窝
04-16 2940
HttpRequest request = new HttpRequest("", "http://localhost", ""); HttpContext.Current = new HttpContext(request, new HttpResponse(new System.IO.StringWriter())); ...
Springboot开发 -- Postman 调试 session 验证 接口
最新发布
dazhong2012的专栏
05-16 589
当我们在开发Spring Boot应用时,经常会遇到,这些接口需要用户先登录并获取(或称为cookie中的JSESSIONID),然后在后续的请求中携带这个Session ID来保持会话状态。下面我将以一个实际的代码案例来展示如何使用Postman来调试这样的接口。
Java多用户(session)测试环境
砷碲 - Shendi
05-03 7224
对于一个写好的Web程序(http),比如网上商城...测试登录功能(挤下线),网游,通常都会需要多个用户来测试(一般都是用session) 所以这时我们就需要有多个session,比如我们打开一个不同的浏览器,session就不同了,但这里有一种更简单的方式 不同域名访问同一个服务器会产生不同session 修改电脑的 hosts 文件,Windows系统的在 C:\Windows\Sy...
小程序会话服务器,完美解决小程序session问题
weixin_31467557的博客
08-04 2466
小程序不像web浏览器有cookie机制,在默认使用cookie存sessionid的机制下,后台将无法正常使用session功能,如果正确使用session呢,提供两个方案。1、将sessionid通过url进行传递用户每次登录成功后将生成的sessionid值使用参数回传到客户端, 客户端接到sessionid后保存到本地, 在发起网络请求的底层接口中默认自动带上sessionid=本地存储的...
接口测试——Cookie和Session
测试迷你白的博客
06-14 3906
什么是Cookie : Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。无论何时用户链接到服务器,Web 站点都可以访问 Cookie 信息。 目前有些 Cookie 是临时的,有些则是持续的。临时的 Cookie 只在浏览器上保存一段规定的时间,一旦超过...
session之本地测试成功,服务器运行失败
过客的博客
08-19 2350
context = ActionContext.getContext();Map session = context.getSession();Profile profile=(Profile) session.get("profile");profile.setUAvatar(newAvatar);session.put("profile", profile); $.ajax({
SpringBoot测试使用Cookie和session
qq_29855391的博客
10-30 1905
cookie和session学习使用
Postman进行带有session的接口测试
某人的博客
05-05 6645
情景:因为在springboot中配置了拦截器,所以当我们想请求某个接口的时候,会判断某个session中的值存不存在,不存在的话会被拦截并且返回一个你拦截器返回的界面 如果我们想用postman进行这样的测试 1.首先,我们先用浏览器进入到满足拦截器不拦截的条件的界面,按F12,复制cookies的值 2.进入postman,点击cookie 3.然后将浏览器复制来的值替换到这里就可以了 此...
session共享项目测试
12-17
总之,"session共享项目测试"是一个旨在解决分布式系统中Session共享问题的实践项目,通过利用Redis的特性,实现了高效、可靠的Session管理,对于理解和提升分布式环境下的用户体验和系统架构有着重要意义。
session共享测试war包
07-21
测试session共享的war包,很普通的一个小包包,就是测试
Session对性能测试的影响
03-23
Cookie是Web产品测试过程中不可缺少的一部分,我们需要通过Cookie信息辨别用户,得到属于自己的结果数据,例如DWR接口测试过程中,需要在请求头信息中传入测试用户的cookie信息  Session介绍  Cookie是Web产品测试...
supertest-session:持久测试会话
05-02
要求supertest-session测试supertest-session并通过测试应用程序: var session = require ( 'supertest-session' ) ; var myApp = require ( '../../path/to/app' ) ; var testSession = null ; beforeEach ( ...
springboot之全局异常拦截器
热门推荐
David的博客
08-25 2万+
接上一篇jsr303参数校验,由于返回的数据提示很不友好(bindException), 需要定义全局异常拦截器,将信息友好的显示给用户 本文以处理登录为例 定义全局异常拦截器:继承自RuntimeException GlobalExceptionHandler,java import org.springframework.validation.BindException; @C...
hibernate异常org.hibernate.exception.ConstraintViolationExceptio
David的博客
12-06 1万+
HTTP Status 500 - Request processing failed; nested exception is org.springframework.dao.DataIntegrityViolationException: could not execute statement; SQL [n/a]; constraint [null]; nested exception is...
上位机与下位机交互--让socket不"死"
David的博客
10-07 1万+
需求说明: 下位机是plc,西门子1200 下位机只能做服务器端,监听一个端口,不能主动给客户端发送消息(原计划是上位机也是监听一个端口,供下位机来访问,上传数据,结果现实很骨感) 上位机(pc)充当客户端,可以主动连接下位机交换信息 具体需求: 1,上位机给下位机下达工作数据 (比如下位机是生产纸张,上位机需要发给下位机纸张的尺寸,数量等数据) 2,下位机会在某个特定的时间“发送”...
svn提交代码出现 no lock token available
David的博客
12-27 9549
svn 提交报错: no lock token available 如果是自己给锁定了,需要释放 如果是别人锁定了,让别人释放, 我这个就比较厉害了,自己锁定,而且还不能释放!!! 提交报如下错误 正确操作: 在svn 中浏览仓库,定位到被锁定的文件 **右键->break lock,**然后再提交就没问题了. ...
cookie和session怎么测试
03-16
测试cookie和session,可以按照以下步骤进行: 1. 创建一个简单的web应用程序,例如使用Java Servlet或PHP编写一个简单的登录页面。 2. 在登录页面中,使用cookie或session来存储用户的登录信息。 3. 编写测试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值