从我在网上看到的内容看来,会话固定攻击是由于session_id信息通过url中的查询字符串传递,或者可能是通过POST引起的。对于我的网站,我从未通过GET或POST传递会话信息;我只是将会话信息存储在SESSION中!对我来说这似乎非常明显,我觉得我错过了一些东西......如果你只是将session_id存储在浏览器的SESSION中,你能保护你的客户session_id信息吗?
答案 0 :(得分:0)
会话固定是一种攻击,攻击者定义会话ID或能够创建一个已知的会话ID,然后将此ID传递给使用此ID的未预期受害者,而不知道它不是随机创建的
您提及“您正在会话中存储会话信息”完全忽略了这一点。此攻击并不意味着直接访问此数据。它以ID为目标 - 这个ID应该足够随机,但会话固定攻击会绕过这个。
请注意,即使没有会话固定的可能性,也有更多可能的攻击媒介可以进入会话。