因为只能用外人的图了。
1. 盗码者用本人的帐号登录,假定登录页面是:http://www.abc.com/login.jsp
让咱们对于上图的方法停止细致注明:
注明:
下图是从测试组寄送的保险演讲中剪进去的,图有些小成绩,原来想重画1个,正在visio中没找出适合的图。(我测试的时分开端正在URL中运用大处落墨的jsessionid,招致没有断没有起效)
能够你跟我一样,刚刚开端看到某个时分,就本人去测试究竟能没有能钓鱼顺利,通过我的测试是能够顺利的,但测试进程中需求留意上面多少个成绩:
后语:
要预防这种成绩,实在也很容易,只需正在用户登录时重置session(session.invalidate()办法),而后把登录消息销毁到新的session中。
4. 盗码者把带本人sessionid的地点发送给正常用户。关于某个成绩你能够感觉假如login.jsp表单的action是写死,而没有是读取以后URL的, 能够就没有会涌现某个钓鱼成绩。
防疫:
5. 用户正在盗码者给的地点顶用本人的帐号停止登录,登录顺利。
图示:
很多WEB开拓言语为了预防阅读器制止了cookie而无奈辨认用户,答应正在URL中照顾sessionid,那样固然便当,但却有能够惹起钓鱼的保险破绽。盗码者能够做1个和login.jsp如出一辙的页面(比方http://www.abc1.com/login.jsp),而后把某个地点发个存户,而某个地点中的表单那样写就能够: <form action="http://www.abc.com/login.jsp;jsessionid=1234" ....(义务编者:帝位库)
1. 要留意你运用的言语是如何正在URL中带sessionid。这只能防住1个位置。http://www.abc.com/login.jsp;jsessionid=1234(没有同的言语带sessionid的形式没有一样,着是jsp的形式)
3. 盗码者从cookie中检查本人的sessionid,比方是1234
2. 效劳器前往登录顺利。
。 2. 要http://www.abc.com/login.jsp;jsessionid=1234页面登录表单的action也带上了jsessionid,没有然也没用。(某个时分用户登录的消息就会遮盖盗码者事先的登录消息,并且2集体用的是同1个sessionid) 6. 盗码者刷新页面,看到的账户消息就是用户的消息了,而没有是事先盗码者本人帐号的消息。