今天无聊 忽然在想如下情形:
如果某服务器进行了Session验证,恰好又开了上传附件功能(大多站点都有论坛),
我如果上传了一个ASPX页面用户创建SESSION,
然后在浏览器中输入地址去打开这个ASPX页面(此时SESSION已创建),
再转到我需要绕过SESSION的页面,就成功的绕过了SESSION验证,请问这样是不是有可能?
如果某服务器进行了Session验证,恰好又开了上传附件功能(大多站点都有论坛),
我如果上传了一个ASPX页面用户创建SESSION,
然后在浏览器中输入地址去打开这个ASPX页面(此时SESSION已创建),
再转到我需要绕过SESSION的页面,就成功的绕过了SESSION验证,请问这样是不是有可能?
比如有些允许游客登陆的,只是临时创建了一个游客的身份,但是到其它主画面应该对这些用户有权限设置的。