Ruby on rails 会话固定
我对网络开发还不熟悉,并试图掌握安全问题。我浏览了这篇文章,这些是作者提到的攻击者如何修复会话的一些步骤Ruby on rails 会话固定,ruby-on-rails,Ruby On Rails,我对网络开发还不熟悉,并试图掌握安全问题。我浏览了这篇文章,这些是作者提到的攻击者如何修复会话的一些步骤 攻击者创建了一个有效的会话id:他加载web应用程序的登录页,并从响应中获取cookie中的会话id(请参见图中的数字1和2) 他可能会继续治疗。将会话过期(例如每20分钟一次),可以大大缩短攻击的时间范围。因此,他会不时访问web应用程序,以保持会话的活动性 现在,攻击者将强制用户浏览器使用此会话id(请参见图中的数字3)。由于您可能无法更改另一个域的cookie(由于同源策略),攻击者必