首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
superboss01
V2EX  ›  程序员

很诡异的问题,点击一个无任何参数而且从未访问过的 URL 地址居然还获取到了别人的会话数据

  •   
  •   superboss01 · 2017-09-02 22:16:32 +08:00 · 3732 次点击
    这是一个创建于 2639 天前的主题,其中的信息可能已经有所发展或是发生改变。
    场景:微信用户 A 分享一个地址给了另外一个微信用户 B,B 点击后得到了新的 PHPSESSIONID(网页是,COOKIE 值 B 和 A 都不一样),可是,可是,可是居然获得了用户 A 的会话数据,完全垫付了我的人生观啊

    备注:通过调试面板观察的,B 用户完全是一个新用户,居然获得了用户 A 的会话数据,很神奇
    第 1 条附言  ·  2017-09-03 01:52:55 +08:00
    我这里都是说的服务器端接收的数据情况,全站 https
    用户 a 和 b 发送给服务器接收到的 cookie 都是完全不一样的,而服务器也正常处理了,就是根据 cookie 去映射的 session 居然 b 作为一个首次访问的新用户还获取到了用户 a 的会话数据
  • 会话
  • 用户
  • 居然
  • 点击
    13 条回复    2017-09-03 12:44:41 +08:00
    xfspace
        1
    xfspace  
       2017-09-02 22:30:21 +08:00 via Android
    估计是参数放在 URL 里,且未鉴权?
    superboss01
        2
    superboss01  
    OP
       2017-09-02 22:34:20 +08:00
    @xfspace URL 里面无任何参数 用户 B 本身的数据对象也是正确的 就是 SESSION 里面本应该是 A 的数据 居然 B 也获取到了
    crz
        3
    crz  
       2017-09-02 22:39:24 +08:00
    @superboss01 那就是有 bug ?
    t6attack
        4
    t6attack  
       2017-09-02 22:58:39 +08:00
    我遇到过诡异的事:
    小时候,是电话串线。当时看报纸,发现很多时候,是老鼠搞乱电线导致的。
    网络时代,是网络串线。某巨型网站,刷新以后发现是别人的帐号,而且能进行各种操作。一般是运营商缓存设备的锅。
    虽然少见,但也不算稀奇,大家应该都遇到过。
    t6attack
        5
    t6attack  
       2017-09-02 23:01:10 +08:00
    对对,网络时代不叫 “串线”,叫 “串号”。
    parametrix
        6
    parametrix  
       2017-09-02 23:02:19 +08:00
    @t6attack 妈呀,网络串线 666,就这还有人坚持不上 https,毕竟运营商缓存是特性呢
    t6attack
        7
    t6attack  
       2017-09-02 23:27:13 +08:00
    @parametrix 也不都是运营商的锅。网站方自己配置不当也可能导致问题。
    知乎、12306、甚至 Steam,都是自己的锅。
    https://www.baidu.com/s?ie=UTF-8&wd=%E4%B8%B2%E5%8F%B7%E4%BA%8B%E4%BB%B6
    https://www.baidu.com/s?ie=UTF-8&wd=Steam+%E8%B4%A6%E5%8F%B7%E4%B8%B2%E5%8F%B7
    大家都知道,新浪微博先是登录过程上的 https,N 年以后,才是全站 https。
    之前登录过程上 https,就是因为一次串号事件的结果。
    http://sec.chinabyte.com/374/12542374.shtml
    t6attack
        8
    t6attack  
       2017-09-02 23:28:04 +08:00
    至于楼主的疑问,可能就是串号。详见
    https://www.baidu.com/s?ie=UTF-8&wd=session%E4%B8%B2%E5%8F%B7%E7%8E%B0%E8%B1%A1
    flynaj
        9
    flynaj  
       2017-09-03 00:29:07 +08:00 via Android
    微信缓存下来的,
    beijinglowb
        10
    beijinglowb  
       2017-09-03 00:56:51 +08:00 via iPhone
    毫不稀奇,这种事我遇到的多了。局域网特别是大学校园网,很容易出现类似问题。原理是,校园网或鹏博士这类宽带,在地区宽带 CDN 对用户内容进行缓存,以加快网站速度。

    缓存的时候你自身的 COOKIE 会话值一类根据某种算法传输到了运营商 CDN 进行解析,决定是否输出缓存数据。

    但是运营商 CDN 出现了问题,把你和他人的会话混淆了。于是就出现一个问题,你自己的网页访问 CDN,CDN 向网站发出了他人的认证信息,网站返回的自然是他人的内容。
    superboss01
        11
    superboss01  
    OP
       2017-09-03 01:44:15 +08:00
    @all 这个怪的就是服务器接收到的 a 和 b 2 用户的 cookie 都是不一样的。 可就是 b 居然还获取到了 a 的会话数据
    然后全站 https 百思不得其解。单独进行代码测试的话一切正常
    wanglaihuai
        12
    wanglaihuai  
       2017-09-03 02:04:38 +08:00 via Android
    当年还不是智能机的时候,我用手机打开网页 QQ,居然莫名其妙登录的是别人的 QQ 号。到现在我还一脸懵比。难道串号了?
    superboss01
        13
    superboss01  
    OP
       2017-09-03 12:44:41 +08:00
    都散了吧 虽然问题解决了 不过看样子用别人写的东西还是不放心靠谱 我还是自己写自己的会话处理逻辑吧 本来有的,懒得写而已
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1357 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:38 · PVG 01:38 · LAX 09:38 · JFK 12:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.