攻击者利用各种手段来获取目标用户的session id。一旦获取到session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。
攻击者获取目标用户session id的方法
- 暴力破解:尝试各种session id,直到破解为止;
- 计算:如果session id使用非随机的方式产生,那么就有可能计算出来;
- 窃取:使用网络截获,xss攻击等方法获得
防范方法
- 定期更改session id
- 更改session的名称
- 关闭透明化session id
- 设置HttpOnly。
- 通过设置Cookie的HttpOnly为true,
- 可以防止客户端脚本访问这个Cookie,
- 从而有效的防止XSS攻击。