最新版本 (mm/dd/yy): 08/14/2014 翻译自Session hijacking attack 漏洞描述 会话劫持攻击利用了Web会话控制机制,该机制通常是被会话令牌管理的。因为HTTP交流使用了许多不同的TCP连接进行通讯,因此web服务器需要一种辨识每个用户连接的方法。最有效的方法是基于Web服务器在完成对客户端的认证后向客户端的浏览器发送令牌。会话令牌通常由一个可变宽度的字符串组成,并且可以以不同的方式使用,例如在URL中,http请求的标头中作为cookie,http请求的标头的其他部分,或…