如果你用的是伪随机序列那么当第一个sessionid被破解的时候后面的所有用户的sessionid都会被破解不过呢其实这个问题在我这里也不存在因为我的用户名sessionid要匹配的所以加大了破解的难度但是如果知道伪随机函数那么破解将会变得非常容易只需要输入一个用户名然后把伪随机序列都试一次就可以了就几亿个也许只有几万个。总之虽然不是轻而易举但是存在安全风险一定要采用真正的随机序列。我很聪明的发现了这个问题。
sessionid的产生不能用伪随机序列
如果你用的是伪随机序列那么当第一个sessionid被破解的时候后面的所有用户的sessionid都会被破解不过呢其实这个问题在我这里也不存在因为我的用户名sessionid要匹配的所以加大了破解的难度但是如果知道伪随机函数那么破解将会变得非常容易只需要输入一个用户名然后把伪随机序列都试一次就可以了就几亿个也许只有几万个。总之虽然不是轻而易举但是存在安全风险一定要采用真正的随机序列。我很聪明的发现了这个问题。
