对朋友有利的一部分我正在审查他的网站,这是一个PHP。我想测试他的会话令牌生成函数,但我无法访问源代码。出于这个原因,我获得了许多令牌,试图找到它们之间的相关性并使用Burp进行分析。我还没有得出结论的一件事是,如果令牌是加密的,当然如果它们是加密的,我正在寻找一种完全不同的方法。我为每个请求获得的令牌如下:
最后一个名为32b7e298af200c063ff686fa5dc74c3f,值为44822a2f5e3db0931da0c444fa50a96a
我不关心前3个令牌,因为它们是默认令牌,因为它们用于Google分析目的。对于最后一个令牌是可以解码它,你能识别使用的编码方案吗?
我不介意在这里发布实际令牌,因为我首先没有注册为用户,并且该站点仍处于开发阶段以进行错误检测。
提前谢谢
答案 0 :(得分:2)
PHP会话ID是随机哈希。没有什么可以解密的。
实际会话数据存储在服务器端 - 会话ID /令牌仅标识会话,因此PHP知道要检索哪个会话数据。