首页新闻找找看学习计划

ASP.NET_SessionId 可以伪造? 然后获取原有相关Session的值吗??

0
[已解决问题] 解决于 2014-05-27 16:16

弄了个测试网站,网session里写了值,然后把asp.net 写在客户端浏览器里的ASP.NET_SessionId 整个拿出来(就是伪造整个请求头) 然后模拟浏览器访问请求服务器,这样还去得到一开始在session里的值吗??? 我测试了下 服务器那边好像新生成了各sessionId

koi的主页 koi | 初学一级 | 园豆:3
提问于:2014-05-26 13:26
< >
分享
最佳答案
0

可以

奖励园豆:5
````` | 专家六级 |园豆:14268 | 2014-05-26 15:24

所有的网站都是一样的道理,都可以伪造客户端cookie然后直接访问就可以了吗?

koi | 园豆:3 (初学一级) | 2014-05-26 23:24

@koi: 是的。

````` | 园豆:14268 (专家六级) | 2014-05-27 08:17
其他回答(3)
0

可以的,只要运行时是依靠sessionID,来识别一个会话的,这就是一般说的会话劫持了

吴瑞祥 | 园豆:28736 (高人七级) | 2014-05-26 13:45
0

HTTP是无状态的协议,在这种情况下,服务器怎么识别客户端呢?只能靠提交的识别码来确认了。

绿杨阴里白沙堤 | 园豆:52 (初学一级) | 2014-05-26 15:09
0

可以的

红萝卜 | 园豆:240 (菜鸟二级) | 2014-05-26 16:54
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册