知識點：flask session 偽造 這道題源碼泄露，是用flask寫的（看了一下一些師傅的wp，說是看到flask直接去看一下路由）判斷一下具有的功能 通過腳本將session解密： 要想生成admin的session還需要SECRET_KEY ...

“記住密碼”的實質，實際上就是把cookie的有效期設置的長一點，當用戶沒有選擇記住密碼時，cookie的有效期為會話結束，選擇記住密碼后，會根據服務器的設置延長cookie的有效期，默認是31天。在flask框架中，服務器不會保存用戶的會話，而是把會話加秘后放在cookie里面返回給用戶 ...

...

Cookie， Session， token及JWT偽造 前言：HTTP是一種無狀態的協議，而這就意味着如果用戶向瀏覽器提供了用戶名和密碼來進行用戶認證，那么下一次請求時，用戶還要再一次進行用戶認證才行。為了分辨鏈接是誰發起的，需要瀏覽器自己去解決這個問題。而Cookie、Session ...

### session：1. session的基本概念：session和cookie的作用有點類似，都是為了存儲用戶相關的信息。不同的是，cookie是存儲在本地瀏覽器，session是一個思路、一個概念、一個服務器存儲授權信息的解決方案，不同的服務器，不同的框架，不同的語言有不同的實現。雖然實現 ...

簡介 flask-session是flask框架的session組件，由於原來flask內置session使用簽名cookie保存，該組件則將支持session保存到多個地方，如： + redis memcached filesystem mongodb ...

1. 攻擊場景 session fixation會話偽造攻擊是一個蠻婉轉的過程。 比如，當我要是使用session fixation攻擊你的時候，首先訪問這個網站，網站會創建一個會話，這時我可以把附有jsessionid的url發送給你。 http://unsafe/index.jsp ...

1 Session 特點： （1）Session中的數據保存在服務器端； （2）Session中可以保存任意類型的數據； （2）Session默認的生命周期是20分鍾，可以手動設置更長或更短的時間 web.config 配置: 程序webconfig配置: < ...