不保存数据的会话
Posted: Tue Dec 17, 2024 5:42 am
随着网络的发展,出现了允许您在不使用 塞内加尔电话 会话 cookie 的情况下管理服务器“内存”的解决方案。在前端和后端完全分离并且仅通过API进行通信的Web 应用程序中,最好的解决方案可能是 JWT(JSON Web Token)——一种允许前端使用后端提供的 API 的签名令牌。通常,JWT 存储在浏览器的 sessionStorage 中,这是客户端在选项卡关闭之前保持活动状态的内存区域。因此,当打开新选项卡时,会创建一个新会话(与 cookie 不同)。通过窃取客户端的 ID 令牌,您可以窃取其会话,从而实施会话劫持攻击。但是如何窃取这个令牌呢?目前,黑客最常采用以下手段:
侧顶举训练
此方法使用不安全的网络来查找您的会话 ID。攻击者使用嗅探(特殊软件),通常针对公共 Wi-Fi 或没有 SSL 证书的网站,这些网站以安全性低着称。
录制会话
受害者使用攻击者创建的会话 ID。这可以通过网络钓鱼攻击(通过恶意链接)“更正”您的会话 ID 来完成。
暴力破解
最费力且效率低下的方法。在此攻击期间,黑客不会窃取您的 cookie。相反,它会尝试所有可能的组合来猜测您的会话 ID。
XSS 或跨站脚本
黑客利用网站或应用程序中的漏洞注入恶意代码。当用户访问该站点时,脚本被激活,窃取用户的cookie并将其发送给攻击者。
侧顶举训练
此方法使用不安全的网络来查找您的会话 ID。攻击者使用嗅探(特殊软件),通常针对公共 Wi-Fi 或没有 SSL 证书的网站,这些网站以安全性低着称。
录制会话
受害者使用攻击者创建的会话 ID。这可以通过网络钓鱼攻击(通过恶意链接)“更正”您的会话 ID 来完成。
暴力破解
最费力且效率低下的方法。在此攻击期间,黑客不会窃取您的 cookie。相反,它会尝试所有可能的组合来猜测您的会话 ID。
XSS 或跨站脚本
黑客利用网站或应用程序中的漏洞注入恶意代码。当用户访问该站点时,脚本被激活,窃取用户的cookie并将其发送给攻击者。