第三方zend加密系统有Web API,让您通过它登录并获取session_id(以便以后调用?)。然后有一个任务,如何绕过具有该session_id的登录表单。
这样的事情是否可能?
答案 0 :(得分:2)
是的,它被称为session hijacking。
答案 1 :(得分:0)
以下是我们最终所做的事情(寻找可接受的答案):
答案 2 :(得分:0)
拥有会话标识符可以绕过登录。 HTTP是无状态协议,服务器使用会话标识符来验证用户设备已经登录时的跟踪。因此,通过窃取另一个用户的会话标识符,您可以欺骗服务器认为您是该用户的将该用户的会话标识符发送到服务器。
可以找到有关会话劫持和所有会话劫持攻击的完整文章Here。