Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (34.93 KB, 2 trang )
Hack Session
trang này đã được đọc lần
Một SessionID là một chuỗi nhận diện thường dùng kết hợp với Web động để định nghĩa trạng thái giữa
người lướt web và ứng dụng Web. Một số Web Servers sẽ cung cấp một SessionID cho người sử dụng sau khi
họ viếng thăm một số trang web trên server trong lần đầu tiên.
SessionID thường được lưu trữ trong cookie bởi trình duyệt.
Thư mục lưu cookie như sau
Đối với trình duyệt Netscape thì được lưu tại
C:\Program FIles\Netscape\Users\UserName\Cookies.txt và đối với trình duyệt IE là C:\Documents and
Setting\username\Cookies (Win2000)
SessionID cũng có thể được ghi vào trong một URL tĩnh, hoặc là trường ẩn trong trang web HTML.
Giới thiệu thành phần của Cookies
Thường cookie được sử dụng để lưu trữ một SessionID như sau:
www.redhat.com|FLASE|/|FLASE|1154023534|Apache|64.3.40.151.16018996349247480|
1. Domain: Tên domain
2. Flag (Cờ): Giá trị TRUE / FALSE cho biết có hay không có domain có thể truy cập biến
3. Đường dẫn URL
4. Giá trị TRUE/FALSE cho biết kết nối có sử dụng SSL hay không ?
5. Ngày hết hạn của cookie được tính từ 00:00:00 GMT Tháng 1, 1970
6. Tên của biến
7. Giá trị của biến
URL tĩnh với SessionID
Nghĩa là SessionID được gửi ngay trên URL
Ví dụ />Trường ẩn với SessionID
Nghĩa là SessionID được lưu trong trường ẩn của trình duyệt. Bạn có thể viewsource để xem giá trị
này
Ví dụ:
<FORM METHOD=POST ACCTION="/cgi-bin/authenticated.cgi">
<input type="hidden" name="sessionID" value="abcde1234">
</FORM>
Đây là bước đầu chuẩn bị trong quá trình Hack SessionID !