An_spectator

摘要： 原理： 用户重新登录后网站没有更新cookie就会产生回话固定漏洞，攻击者可以利用该漏洞发起会话劫持 场景：由于HTTP的无状态性，导致网站必须使用会话机制来识别用户，如果用户没登录时的会话ID和登录后的会话ID保持一致，那么攻击者可以迫使受害者使用一个已知(有效)的会话ID，当受害者通过身份验证， 阅读全文