3.2.2.Session & Cookie

  • Overview

    • 由於HTTP為stateless, 故當server要記住client等資訊時, 一般常用的方法是使用Session或Cookie

  • Cookie

    • 當server希望client記住一些資訊時, 就會發送cookie給client, 資訊會記在HTTP header

    • 在client端會將這些資訊記錄在browser中

  • Session (參考自戴夫寇爾)

    • Session則是儲存在server端

    • server會先發送session ID給client, client利用cookie將session ID儲存起來

    • 當client發下一個request時,server會先判斷requset中是否帶有session ID, server端會有對應的session ID來辨認每個使用者所儲存的資料

  • Session 攻擊

    • 由於session ID如同身分證, 若hacker從cookie中竊取了session ID, 等同於身份被冒用

    • 攻擊手法

      • 猜測 Session ID (Session Prediction)

      • 竊取 Session ID (Session Hijacking)

      • 固定 Session ID (Session Fixation)

Previous3.2.1.Basic conceptNext3.3.TCP/IP

Last updated