玩蛇网提供最新Python编程技术信息以及Python资源下载!

python伪造出一个正确的session id并进行不好的行为吗?

这种情况发生的可能性大吗?我们需要采取额外的措施来防止这种情况吗?

例如segmentfault的session是26位的16进制,那就有 26^16=43608742899428874059776 的总范围,我们假设这里面有 1百万 个有效的,已登陆的session_id,那就表示我们随机一个session_id就有 1/43608742899428874 也就是四千亿亿分之一的几率得到一个已登陆用户 :)

上面php自带的26位session_id的情况,如果彩票中了500万,还可以试着玩一下。但是如果是laravel这样的框架,它的sessionid总量是 275^16=1.0698505179856941336765885353088e+39 ,这是多少分之一的几率原谅我算不出来。

综上所诉,这么低的几率,还不如去穷举账号密码来的划算。end

session伪造攻击

玩蛇网文章,转载请注明出处和文章网址:https://www.iplaypy.com/wenda/wd14160.html

相关文章 Recommend

玩蛇网Python互助QQ群,欢迎加入-->: 106381465 玩蛇网Python新手群
修订日期:2017年05月31日 - 11时07分15秒 发布自玩蛇网

您现在的位置: 玩蛇网首页 > Python问题解答 > 正文内容
我要分享到:

必知PYTHON教程 Must Know PYTHON Tutorials

必知PYTHON模块 Must Know PYTHON Modules