用户投稿会话劫持经常通过XSS(跨站点脚本)或嗅探发生。这个问题主要集中在中间人的嗅探上。输入验证可防止攻击者提交恶意代码以通过XSS劫持用户的会话。
.使用TLS的端到端加密可保护邮件免受嗅探攻击。它减少了中间人劫持会话的可能性。
.如果会话cookie被盗并重播,则自动注销将使会话cookie失效或使会话cookie无效,并减少影响。
.较长且随机的会话ID使得攻击者更难以猜测或欺骗会话cookie,从而降低了可能性。
参考
.什么是会话劫持以及如何防止它?
.会话劫持攻击:了解和预防
资料来源: Wentz Wu QOTD-20210212
微信扫一扫打赏
支付宝扫一扫打赏
