这种情况发生的可能性大吗?我们需要采取额外的措施来防止这种情况吗?
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
2
435
收藏
例如segmentfault的session是26位的16进制,那就有
26^16=43608742899428874059776的总范围,我们假设这里面有1百万个有效的,已登陆的session_id,那就表示我们随机一个session_id就有1/43608742899428874也就是四千亿亿分之一的几率得到一个已登陆用户 :)上面php自带的26位session_id的情况,如果彩票中了500万,还可以试着玩一下。但是如果是laravel这样的框架,它的sessionid总量是
275^16=1.0698505179856941336765885353088e+39,这是多少分之一的几率原谅我算不出来。综上所诉,这么低的几率,还不如去穷举账号密码来的划算。end
session伪造攻击