一、Session与Cookie的区别
Session是存储在服务器端,时间短。例如登录网页版的支付宝,成功登录后,去浏览别的网页几分钟,再来支付宝页面进行操作,发现是需要重新登录的。(再比如,你登录手机银行,切换到别的app界面后,重新再到手机银行就需要重新登录)
Cookie是存储在客户端,时间长。比如你登录某个网站,成功登录后,再去浏览别的网页1个小时,再来该网站进行操作,是不需要重新登录的。
二、HTTPS的密文形式
登录百度账号,查看登录数据包,发现密码被HTTPS加密传输,查看密码被加密后的样子如下图所示,非常复杂,无法解密。
而如果是http协议的话,就都是明文传输,比如:usernam=cuihua,密码是password=xuihua。有的时候在cookie中传输会带着username=cuihua,那么此处可能存在越权行为,将username=cuihua修改为username=wanger,是不是就会以wanger的身份登录网站后台。
更多web安全工具与存在漏洞的网站搭建源码,收集整理在知识星球。
