PHP PHPSESSID漏洞混淆

Question

我对PHPSESSID漏洞的利用感到困惑。如果我将document.cookie更改为另一个活跃用户的PHPSESSID (在youtube或instagram等简单的社交媒体网站上只是一个例子)，当我登录到该用户的帐户时，页面会重新加载吗？我还需要知道该用户的密码吗？注意:我实际上不会这么做，但我想知道会发生什么。谢谢!

附注:我对此并不熟悉，所以请原谅我缺乏知识：)

Answer 1

答案取决于目标站点的安全检查。

如果站点假设PHPSESSID cookie足以授权访问，那么窃取某人的会话将足以冒充她，而不需要知道她的密码。

不过，站点通常还有其他措施:它们可能会检查其他参数(如IP地址或用户代理)在会话期间是否已更改，如果检测到此类更改，则使会话无效并拒绝访问。

会话通常也有过期时间，因此，如果您从无人值守数小时的浏览器获取会话cookie，站点可能会因为过期而拒绝访问。您经常会在银行网站上看到这种情况，这些网站会显示一个弹出窗口，告诉您会话已过期或即将过期。

最后，如果用户注销，一个好的站点将会破坏会话。即使您拥有PHPSESSID cookie，当您将其呈现给服务器时，它也不会找到匹配的会话，因为它可能已经被销毁。