竊取使用者的SessionID,冒用網頁使用者的身分入侵網站。
Session Hijacking和XSS有點類似,駭客是利用SessionID會當成Cookie存到用戶端電腦的特性,竊取存在用戶端電腦的SessionID,再冒用網頁使用者的身份進入該使用者所使用的的網站竊取重要的個人資料(例如:金融資訊) ,再進行危害網頁使用者的動作。
何謂 Cookie:
有一些網站會以小型文字檔的形式, 在您的電腦中儲存一些資訊, 以辨識您的身分, 或是記錄一些您的資料與喜好( 如:IP 位址、瀏覽過哪些網頁...) 等, 如此一來, 當您再度進入該網站時, 網站便可以利用這些資訊提供您個人化的內容, 而這種小型文字檔就稱為 Cookie。
瀏覽器記錄 cookie 的資料量及個數是有限制的。限制是 : 瀏覽器只為每一個使用者記錄300個 cookie、只為每一個 Web Server 記錄20個 cookie、而每一個 cookie 最大為 4KB,而當 cookie 個數超過時,後來寫入的 cookie 會蓋掉前面的 cookie。(這是IE預設值可自訂)
Cookie 欺騙:
Cookie記錄著使用者的帳戶ID、密碼之類的訊息,如果在網上傳遞,通常使用的是MD5方法加密。這樣經由加密處理後的訊息,即使被網路上一些別有用心的人截獲,也看不懂,因為他看到的只是一些無意義的字母和數字。然而,現在遇到的問題是,截獲Cookie的人不需要知道這些字串的含義,他們只要把別人的Cookie向伺服器提交,並且能夠通過驗證,他們就可以冒充受害人的身份,登陸網站。這種方法叫做Cookie欺騙。
