知识点：flask session 伪造 这道题源码泄露，是用flask写的（看了一下一些师傅的wp，说是看到flask直接去看一下路由）判断一下具有的功能 通过脚本将session解密： 要想生成admin的session还需要SECRET_KEY ...

“记住密码”的实质，实际上就是把cookie的有效期设置的长一点，当用户没有选择记住密码时，cookie的有效期为会话结束，选择记住密码后，会根据服务器的设置延长cookie的有效期，默认是31天。在flask框架中，服务器不会保存用户的会话，而是把会话加秘后放在cookie里面返回给用户 ...

...

Cookie， Session， token及JWT伪造 前言：HTTP是一种无状态的协议，而这就意味着如果用户向浏览器提供了用户名和密码来进行用户认证，那么下一次请求时，用户还要再一次进行用户认证才行。为了分辨链接是谁发起的，需要浏览器自己去解决这个问题。而Cookie、Session ...

### session：1. session的基本概念：session和cookie的作用有点类似，都是为了存储用户相关的信息。不同的是，cookie是存储在本地浏览器，session是一个思路、一个概念、一个服务器存储授权信息的解决方案，不同的服务器，不同的框架，不同的语言有不同的实现。虽然实现 ...

简介 flask-session是flask框架的session组件，由于原来flask内置session使用签名cookie保存，该组件则将支持session保存到多个地方，如： + redis memcached filesystem mongodb ...

1. 攻击场景 session fixation会话伪造攻击是一个蛮婉转的过程。 比如，当我要是使用session fixation攻击你的时候，首先访问这个网站，网站会创建一个会话，这时我可以把附有jsessionid的url发送给你。 http://unsafe/index.jsp ...

1 Session 特点： （1）Session中的数据保存在服务器端； （2）Session中可以保存任意类型的数据； （2）Session默认的生命周期是20分钟，可以手动设置更长或更短的时间 web.config 配置: 程序webconfig配置: < ...