最新版本 (mm/dd/yy): 08/14/2014 翻译自Session hijacking attack 漏洞描述 会话劫持攻击利用了Web会话控制机制，该机制通常是被会话令牌管理的。因为HTTP交流使用了许多不同的TCP连接进行通讯，因此web服务器需要一种辨识每个用户连接的方法。最有效的方法是基于Web服务器在完成对客户端的认证后向客户端的浏览器发送令牌。会话令牌通常由一个可变宽度的字符串组成，并且可以以不同的方式使用，例如在URL中，http请求的标头中作为cookie，http请求的标头的其他部分，或…