3.2.2.Session & Cookie
Last updated
Last updated
Overview
由於HTTP為stateless, 故當server要記住client等資訊時, 一般常用的方法是使用Session或Cookie
Cookie
當server希望client記住一些資訊時, 就會發送cookie給client, 資訊會記在HTTP header
在client端會將這些資訊記錄在browser中
Session (參考自戴夫寇爾)
Session則是儲存在server端
server會先發送session ID給client, client利用cookie將session ID儲存起來
當client發下一個request時,server會先判斷requset中是否帶有session ID, server端會有對應的session ID來辨認每個使用者所儲存的資料
Session 攻擊
由於session ID如同身分證, 若hacker從cookie中竊取了session ID, 等同於身份被冒用
攻擊手法
猜測 Session ID (Session Prediction)
竊取 Session ID (Session Hijacking)
固定 Session ID (Session Fixation)