首页 新闻 赞助 找找看

ASP.NET_SessionId 可以伪造? 然后获取原有相关Session的值吗??

0
[已关闭问题] 解决于 2014-05-27 16:16

弄了个测试网站,网session里写了值,然后把asp.net 写在客户端浏览器里的ASP.NET_SessionId 整个拿出来(就是伪造整个请求头) 然后模拟浏览器访问请求服务器,这样还去得到一开始在session里的值吗??? 我测试了下 服务器那边好像新生成了各sessionId

koi的主页 koi | 初学一级 | 园豆:4
提问于:2014-05-26 13:26
< >
分享
其他回答(2)
0

可以的,只要运行时是依靠sessionID,来识别一个会话的,这就是一般说的会话劫持了

吴瑞祥 | 园豆:29449 (高人七级) | 2014-05-26 13:45
0

HTTP是无状态的协议,在这种情况下,服务器怎么识别客户端呢?只能靠提交的识别码来确认了。

Shapley | 园豆:55 (初学一级) | 2014-05-26 15:09
0

可以的

红萝卜 | 园豆:240 (菜鸟二级) | 2014-05-26 16:54
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册