某些黑客(虽然它是在Laravel中加密)是否有可能会话劫持并假装自己是另一个用户?
简单的怎么样?例如,如果我在logged_in会话中放入1的值以便为用户提供一些额外的功能,他们可以通过cookie manager或其他一些浏览器插件自行创建它吗?一个数字或布尔值?
由于
答案 0 :(得分:0)
对于攻击者为了访问会话,他需要检索用户的cookie。在这种情况下,他可以假装他是您应用程序中的特定用户。
但这并不容易。通过个人攻击来查找某些用户信息比尝试渗透laravel会话更容易
仍然是可能的。但即使他设法做这个laravel你可以采取额外的预防措施,使黑客的访问默认非常受限制。
另一方面,这就是为什么apis应该是无状态的。因为黑客可以很容易地访问客户端和api之间的共享会话,并且可以穿透你的系统会话