我对 PHPSESSID 漏洞感到困惑。如果我更改document.cookie为另一个活跃用户(在 youtube 或 instagram 等简单的社交媒体网站上[仅作为示例])PHPSESSID,页面是否会随着我登录到该用户的帐户而重新加载?我还需要知道该用户的密码吗?注意:我实际上不会这样做,但我想了解会发生什么。
答案取决于目标站点的安全检查。
如果网站认为PHPSESSIDcookie 足以授权访问,那么窃取某人的会话就足以冒充她,而无需知道她的密码。
不过,站点通常有额外的措施:它们可能会检查其他参数(例如 IP 地址或用户代理)在会话期间是否已更改,如果检测到此类更改,则使会话无效并拒绝访问。
会话通常也有过期时间,因此,如果您获取会话 cookie,例如从无人值守数小时的浏览器获取会话 cookie,则站点可能会拒绝访问,因为它已过期。您经常会在银行网站上看到这种情况,这些网站会显示一个弹出窗口,告诉您您的会话已过期或即将过期。
最后,如果用户注销,好的站点会破坏会话。即使您拥有PHPSESSIDcookie,当您将其提供给服务器时,它也不会找到匹配的会话,因为它会被破坏。