3.2.2.Session & Cookie

• Overview

  • 由於HTTP為stateless, 故當server要記住client等資訊時, 一般常用的方法是使用Session或Cookie

• Cookie

  • 當server希望client記住一些資訊時, 就會發送cookie給client, 資訊會記在HTTP header

    

  • 在client端會將這些資訊記錄在browser中

    

• Session (參考自戴夫寇爾)

  • Session則是儲存在server端

  • server會先發送session ID給client, client利用cookie將session ID儲存起來

  • 當client發下一個request時,server會先判斷requset中是否帶有session ID, server端會有對應的session ID來辨認每個使用者所儲存的資料

• Session 攻擊

  • 由於session ID如同身分證, 若hacker從cookie中竊取了session ID, 等同於身份被冒用

  • 攻擊手法

    • 猜測 Session ID (Session Prediction)

    • 竊取 Session ID (Session Hijacking)

    • 固定 Session ID (Session Fixation)