访问令牌(或者会话ID)往往很容易在Web应用流程中看到,但是有时候不是如此。表5-1列出寻找访问令牌的一般信息以及常见的缩写,让读者对稍后小节中我们寻找的内容有个概念。
COTS会话ID
许多常见的现成(COTS)Web服务器具备生成自己的伪随机会话ID的能力。表5-2列出一些常见的服务器和它们对应的会话跟踪变量。更现代的服务器生成的ID一般有足于阻止猜测攻击的随机性,但是它们容易遭到重放攻击(我们将在接下来关于攻击令牌的小节中讨论这些内容)。
表5-1 常存储于Web应用访问/会话令牌中的信息
表5-2 一些常见的现成会话ID