我已经阅读了一些关于防止会话劫持的文章,大多数人都说在您的网站上使用https,但我不明白https如何阻止会话劫持
https如何阻止会话劫持?
答案 0 :(得分:0)
会话劫持也可以由嗅探您网络流量的人执行。例如,假设您通过HTTP连接到Stackoverflow,并且有人读取您发送到服务器的每个请求。每次您访问其他页面时,您都会将您的身份验证Cookie以及您的请求发送到Stackoverflow,以便它知道您已登录,并且它不会询问你再次登录。
问题在于,由于您的通信是以纯文本形式执行的,攻击者可以阅读您的请求,因此他可以获取您的身份验证Cookie,并且他可以冒充您。
现在,如果您使用的是HTTPS,则可以通过加密渠道进行通信。即使攻击者正在嗅探您的所有请求,他也无法获得任何有意义的信息,因为他只会看到加密文本。这就是为什么HTTPS可以防止会话劫持的原因。 当然,有不同的方法可以劫持一个会话,而中间人只是其中之一,所以也许你应该看看这个:https://www.owasp.org/index.php/Session_hijacking_attack
另外,正如旁注,"只是使用HTTPS"它不是灵丹妙药,需要正确配置和实施,所以如果你是那个正在执行某些服务器端配置的人,我强烈建议你阅读更多有关协议和攻击的信息。协议,以避免一些常见错误(如启用旧版本的SSL,或使用损坏的算法,如RC4)。