攻:
1.攻击者匿名访问某个站点,多点几下
2.站点此时已经生成会话,其会话ID被串在URL后面 http://hello.com/hi.jsp?sessionid=xxx (或者放在Cookie里)
3.攻击者把这个URL发给被害人 (或者通过XSS漏洞把Cookie注入到被害者的浏览器里)
4.用户用这个URL登录
5.攻击者在自己家里继续用 http://hello.com/hi.jsp?sessionid=xxx 浏览网站,这时侯他已经以被害人的身份在系统中游荡了
防:
用户登录成功后,系统应生成新会话