Security 你能给我举个会话固定攻击的例子吗？

我读过关于会话固定的内容，据我所知，会话固定会迫使用户使用攻击者的会话。这是正确的吗？你能给我举个例子说明这会冒犯用户吗？

我通常不想发布到维基百科的链接，但这里有一个到

下面是它的要点：

• 艾丽斯在银行有一个帐户。不幸的是，Alice不太懂安全

• 马洛里去银行取艾丽丝的钱

• Alice对Mallory有一定程度的信任，并将访问Mallory发送给她的链接

• Mallory已确定接受任何会话标识符，从查询字符串接受会话标识符，并且没有安全验证。因此不安全
• 马洛里给爱丽丝发了一封电子邮件：“嘿，看看这个，我们的银行有一个很酷的新账户摘要功能。”。马洛里正试图确定SID，我会知道的
• 艾丽丝很感兴趣，她经常来参观。通常的登录屏幕弹出，Alice登录
• Mallory访问，现在可以无限访问Alice的帐户

---

@RichieHindle这意味着，如果银行网站确实创建了会话id，而不只是接受任何会话id，那么这种攻击是不可能的，或者我在这里遗漏了什么？即使银行只接受它生成的id，Alice也不安全。Mallory可以访问银行的站点，获取银行生成的会话ID，然后在发送给Alice的链接中使用该ID。有关如何防御会话固定攻击的详细信息，请参阅链接的Wikipedia文章。@RichieHindle和银行将生成一个新的会话id。。。我是不是遗漏了什么？等等。我想我明白了。很抱歉但这意味着银行不颁发令牌，而是在有人登录时授予会话权限。这很愚蠢。我确实理解这一点，但我不明白关键的问题，即“不安全”服务器如何知道这是Alice？Alice是否发送任何带有SID的cookie，或者在查询字符串中指定它？为什么马洛里不能得到爱丽丝的SID？