作为朋友的一部分,我正在查看他的php网站。我想测试他的会话令牌生成功能,但我无法访问源代码。出于这个原因,我获得了许多令牌,试图找到它们之间的相关性,并使用Burp对它们进行分析。我还没有得出结论的一件事是,代币是否加密,当然,如果它们是加密的,我正在考虑一种完全不同的方法。我为每个请求获得的令牌如下:
- __utma数值
- __utm数值
- __utmc数值
- __utmz数值
最后一个命名为32b7e298af200c063ff686fa5dc74c3f,值为44822a2f5e3db0931da0c444fa50a96a
我不在乎前三个代币,因为它们是默认代币,因为用于谷歌分析目的。对于最后一个令牌,是否可以对其进行解码?您能否确定所使用的编码方案?
我不介意在这里发布实际的代币,因为我一开始没有注册为用户,该网站仍处于错误检测的开发阶段。
提前感谢
PHP会话ID是随机散列。根本没有什么可解密的。
实际的会话数据存储在服务器端——会话id/token只标识会话,因此PHP知道要检索哪个会话数据。