你是正确的。有一种攻击称为“会话劫持”。还有一种麻烦的攻击会干扰现有会话,即所谓的“跨站点请求伪造”。需要采取各种对策。在这里概括它们并不是非常实际的。但是,了解这些攻击的名称后,您可以轻松地去学习防范措施。例如,您可以查阅OWASP.org上的Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet。
会话数据容易受到攻击。跨站请求伪造或会话劫持是人们警惕的热词之一。
已经在这里提到了几篇关于CSRF的文章。
但总的来说,劫持会话是任何(会话感知)Web应用程序的安全方面。中间人攻击(MITM)是一种会将敏感数据暴露给未经授权用户的攻击方式。关于MITM的一个很好的介绍可以在OWASP上找到这里。这个博客上有一些MITM的例子。
虽然大多数文章提供了一些背景,说明如果不采取措施防止会话劫持可能会出现的一些漏洞,但好消息是有工具可以让我们测试应用程序是否存在这些漏洞。已经提到了开放式Web应用安全项目(OWASP)。OWASP提供构建安全网站指南(相当通用的主题),会话管理测试清单以及一些资源/工具和示例来检查会话的特定方面。
这些文章提到了测试此类漏洞的方法。正如你已经提到的,稍微阅读一下就可以帮助你。
Session.Id的安全性吗?你的问题是否针对某种技术? - Srikanth Venugopalan