[求助]网页发包sessionID求助-WEB安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
孤独的缘雪币： 210 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	孤独的缘 2 楼该图片仅限百度用户交流使用。 www.baidu.com 2010-3-7 22:47 0
heruivicky 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	heruivicky 3 楼晕。咋会这样？看不到图片吗？那我解释下我的问题，在某一次登陆网页过程中，post了4个数据包，在返回数据中找不到session的线索。按道理一次登录过程，session应该一个就够了才对，要不然服务器也太浪费资源了。而且我没搞懂的是这个网页的session从何而来，我在服务器发给我的包里没有找到任何与它有关的数据。要不然就是网页脚本生成的，但是脚本里也找不到线索，头疼。高手指点下思路，俺刚学这没几天。谢谢各位了！ 2010-3-7 23:15 0
heruivicky 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	heruivicky 4 楼还有，POST的4个包，每一个的session都不一样。 2010-3-7 23:16 0
Ivanlife 雪币： 146 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	Ivanlife 5 楼 1.盗链百度图片，no see！ 2.应该是防止csrf的，通过随机数生成的One-Time Tokens。 2010-3-8 10:12 0
hackcctv 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	hackcctv 6 楼图片貌似失效咯 2010-3-8 14:01 0
heruivicky 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	heruivicky 7 楼谢谢你的回答。通过随机数生成的One-Time Tokens是不是本地随机生成的？服务器返回的数据里没有它的线索。如果是本地生成的，该如何破解它。我想伪造POST包。 2010-3-8 14:19 0
heruivicky 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	heruivicky 8 楼又弄了一天，好像是本地随机生成的，但是有规律。是不是应该在脚本里可以找到生成随机数的函数，但是找了一天，把这个网页下载，所有的脚本都找了一遍也没有找到。有点失去信心了。到底是不是应该能找到这个函数啊？ 2010-3-8 18:14 0
wangshutai 雪币： 250 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	wangshutai 9 楼印象中应该是本地生成一个浏览器session级别的cookie，然后再这个session中，这个sessionId是传送到服务器，服务器按照这个来区别一个session过程。例如登陆成功后，保存你的某些信息，再次操作，验证保存的这些信息来判断这个请求的sessionid是否已经登陆，这样就可以服务器端验证登陆了。愚见，有其他的见解的请告知 2010-6-24 13:32 0
yangshuj 雪币： 403 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	yangshuj 10 楼 session是服务器生成的，保存在服务器内存中的，我们没法修改或者欺骗。 cookie是保存在本地的，这个存在欺骗的可能 2010-7-4 22:20 0
小小阳雪币： 204 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	小小阳 11 楼 9楼说的差不多，其中容器会有一个sessionID的表。浏览器访问时会产生一个保存有sessionID的cookie发送到服务器，如果服务器端没有此sessionID对应的session，服务器会创建一个新的session对应到给ID，如果有就说明你登陆了。容器中可以设置session的有效时间，tomcat默认是30分钟。 2010-7-7 18:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
孤独的缘雪币： 210 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	孤独的缘 2 楼该图片仅限百度用户交流使用。 www.baidu.com 2010-3-7 22:47 0
heruivicky 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	heruivicky 3 楼晕。咋会这样？看不到图片吗？那我解释下我的问题，在某一次登陆网页过程中，post了4个数据包，在返回数据中找不到session的线索。按道理一次登录过程，session应该一个就够了才对，要不然服务器也太浪费资源了。而且我没搞懂的是这个网页的session从何而来，我在服务器发给我的包里没有找到任何与它有关的数据。要不然就是网页脚本生成的，但是脚本里也找不到线索，头疼。高手指点下思路，俺刚学这没几天。谢谢各位了！ 2010-3-7 23:15 0
heruivicky 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	heruivicky 4 楼还有，POST的4个包，每一个的session都不一样。 2010-3-7 23:16 0
Ivanlife 雪币： 146 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	Ivanlife 5 楼 1.盗链百度图片，no see！ 2.应该是防止csrf的，通过随机数生成的One-Time Tokens。 2010-3-8 10:12 0
hackcctv 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	hackcctv 6 楼图片貌似失效咯 2010-3-8 14:01 0
heruivicky 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	heruivicky 7 楼谢谢你的回答。通过随机数生成的One-Time Tokens是不是本地随机生成的？服务器返回的数据里没有它的线索。如果是本地生成的，该如何破解它。我想伪造POST包。 2010-3-8 14:19 0
heruivicky 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	heruivicky 8 楼又弄了一天，好像是本地随机生成的，但是有规律。是不是应该在脚本里可以找到生成随机数的函数，但是找了一天，把这个网页下载，所有的脚本都找了一遍也没有找到。有点失去信心了。到底是不是应该能找到这个函数啊？ 2010-3-8 18:14 0
wangshutai 雪币： 250 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	wangshutai 9 楼印象中应该是本地生成一个浏览器session级别的cookie，然后再这个session中，这个sessionId是传送到服务器，服务器按照这个来区别一个session过程。例如登陆成功后，保存你的某些信息，再次操作，验证保存的这些信息来判断这个请求的sessionid是否已经登陆，这样就可以服务器端验证登陆了。愚见，有其他的见解的请告知 2010-6-24 13:32 0
yangshuj 雪币： 403 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	yangshuj 10 楼 session是服务器生成的，保存在服务器内存中的，我们没法修改或者欺骗。 cookie是保存在本地的，这个存在欺骗的可能 2010-7-4 22:20 0
小小阳雪币： 204 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	小小阳 11 楼 9楼说的差不多，其中容器会有一个sessionID的表。浏览器访问时会产生一个保存有sessionID的cookie发送到服务器，如果服务器端没有此sessionID对应的session，服务器会创建一个新的session对应到给ID，如果有就说明你登陆了。容器中可以设置session的有效时间，tomcat默认是30分钟。 2010-7-7 18:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复