最新版本(mm/dd/yy): 12/6/2011 翻译自Session Prediction 漏洞描述 会话预测攻击重点在于预测允许攻击者绕过应用程序身份验证模式的会话ID值。通过分析和理解会话ID的生成过程,攻击者可以预测一个有效的会话ID值来获得应用的访问权限。第一步,攻击者需要收集一些有效的会话ID值以用于辨识认证的用户。然后,他必须了解会话ID的结构,用于创建它的信息以及应用程序用来保护它的加密或散列算法。一些错误的实现使用由用户名或其他可预测信息组成的会话ID,如时间戳或客户端IP地址。在最坏的情况下,…