我目前正在做一個php網站,我們使用一個Session變量來存儲每個用戶的權限級別。是否有可能「盜版」一個會話變量(我不想知道如何)
例如,如果您有任何一個人會在網站上,您會自動獲得值爲「member」的會話變量。
我所問的是:是否有可能爲攻擊者去網站上,並修改會話變量的值的「管理」,而不是「成員」
我不是問怎麼了,只是如果這是可能的,如果是的話,攻擊者將需要什麼樣的特殊訪問(例如:訪問代碼,...)
我有一個替代解決方案,這將替換權限值與令牌會隨着時間的推移而過期。
第二種解決方案的實施時間較長。
感謝您的幫助!
爲什麼你不想知道如何?瞭解如何完成某些事情對於防止人們這樣做至關重要。這不像我們有一個思想警察,因爲知道如何利用事情而被罰款。 – 2010-08-09 20:01:32
@Matti他可能試圖搶佔所有「我們不幫助黑客在這裏」downvotes當任何人問這種類型的問題 – 2010-08-09 20:03:10
@邁克爾Mrozek而我回答艱難下來投票的問題,我得到我的答案投票。 – rook 2010-08-09 20:32:16