windows环境下 wackopicko环境搭建
创建数据库wackopicko,然后输入source 将.sql数据库文件拖到source后面,就会出现文件路径,然后回车即可
成功导入:
设置网站根目录,网站根目录必须在website才可以,不然页面不正常显示
访问网站,正常显示
SESSION介绍
session存放在服务器端,整个过程如同两个人打电话,只要用户关闭浏览器就如同电话挂断,服务器在这里插入代码片也会把session会话删除。比如你之前访问某一网站已经登陆,后来把浏览器关闭,一小会儿后又去访问这个网站,提示你重新输入用户名密码登录
用户凭据信息
cookie存储本地端 存活时间长
session存储服务端 存活时间可长可短 一般短
实验模拟
第一步:访问登陆界面
输入用户名密码admin、admin登录并抓包查看数据包内容,发现此处是使用的session认证并不是cookie认证(因为有session会话编号以及PHPSESSID=。。。。。。),session会话编号是从3开始。
输入错误的账号密码,页面显示如下图,页面不变不会跳转。
属于用户名密码admin、admin多登陆几次,发现每成功登陆一次,session值增加1,本次实验成功登陆8次,session会话编号为10
第二步:将数据包导入Repeater模块进行测试
修改session会话编号为1没有成功登录
修改session会话编号为3成功登录
总结:
session会话编号1,2不成功登录,会话编号3,4,5,6,7,8,9,10都成功登录,会话编号11及其以上都不成功登录
正常情况:浏览器关闭,或者数秒后,之前的session会话都不能成功登录,只有当前一个session会话编号可以成功登陆
产生安全问题:此环境,浏览器关闭或者几分钟之后,session会话仍旧保持,不失效,导致只要指导session会话编号就可以成功登录后台
