Web应用程序通过cookie管理和识别它的客户端..会话维护也基于cookie ..如果攻击者设法读取我的cookie(显然他可以通过数据包嗅探)然后他可以登录到我的帐户的详细信息?应用程序服务器如何防止这种情况发生?
答案 0 :(得分:1)
这可能是不可能的。服务器不识别仅具有会话值(cookie值)的客户端。除了会话值之外,服务器还使用其他信息(如客户端IP)来确定会话值(cookie值)是否有效。如果攻击者使用中间人攻击(MITM)参与第一个会话,则服务器将攻击者的IP知道为客户端IP并信任攻击者提供的信息。 攻击将成功。
但是,如果您使用SSL进行连接,则攻击将失败。
可以想象,如果攻击成功只有一个cookie值副本,那么任何不使用https的服务都将能够入侵。 Web技术的设计使其不易受到攻击。