HTTP會話劫持主要針對,電信和網通用戶的HTTP協定進行的一種行為。
基本介紹
- 中文名:HTTP會話劫持
- 類別:一種劫持行為
- 針對:電信和網通用戶的HTTP協定
- 套用:Web應用程式
基本原理是:
Web應用程式是通過2種方式來判斷和跟蹤不同用戶的:Cookie或者Session(也叫做會話型Cookie)。其中Cookie是存儲在本地計算機上的,過期時間很長,所以針對Cookie的攻擊手段一般是盜取用戶Cookie然後偽造Cookie冒充該用戶;而Session由於其存在於服務端,隨著會話的註銷而失效(很快過期),往往難於利用。所以一般來說Session認證較之Cookie認證安全。
