深圳网站制作公司的会话管理机制存在常见的漏洞,其中很容易产生漏洞的就是将生成和处理的会话令牌与令牌所属的用户会话之间对应的过程,因为在这过程中是应用程序机制中一个非常薄弱的环节。
最简单的漏洞是允许给同一个用户账户同时分配几个有效的令牌。子任何用户上都不可拥有多个会话,当然每用户在终止一个会话中,再开一个新的会话这个很正常,中时就可能出现了安全的问题,要么用户将证书泄露给了第三方,要么就以其他途径获得了证书,无论哪种,都不允许并行会话,因为它允许用户持续执行任何非法操作,同时允许攻击者使用截取的证书,却不存在被检测出来的风险。
有些时候,
深圳网站设计公司在设计应用程序中是为了执行设计上的缺陷“记住我”,并因此将一根静态的令牌保存在一个持久的cookie中。即使有时漏洞因为令牌本身易于受到攻击而产生更严重的后果,不仅能入侵当前用户的会话还有可能破坏所有注册用户的账户。