攻击者在攻击应用程序时,会话管理机制中存在的诸多漏洞为他们提供了大量的攻击目标。鉴于其在多个请求中确定相同用户身份过程中所发挥的重要作用,不完善的会话管理功能通常会成为攻击者“进入应用程序王国的钥匙”。对攻击者来说,进入其他用户的会话当然不错,但劫持管理员的会话会更好,因为这样他往往能够攻破整个应用程序。
现实世界的会话管理功能中往往存在各种各样的缺陷。当应用程序采用定制机制时,其中可能会存在各种薄弱环节,并有无数种攻击方法可供攻击者利用。耐心与坚持不懈是我们从中汲取到的最重要的教训。许多会话管理机制初看起来似乎安全可靠,但仔细分析后却发现它们并不合格。解译应用程序如何生成看似随机的令牌序列,这个过程既费时又费力。但由于这样做通常可获得巨大的回报,因而值得为之花费时间和精力。