SESSION

session 類似於存在於 server 端的 cookie ，因其存放於 server 上，故不會發生像是 cookie 竄改的問題，但因為 cookie 就是 server 端上 session 的名稱，如果透過 XSS 、 本地木馬等方式竊取，仍舊會帳號遺失，因此， 在 cookie 上設置 HttpOnly 能夠降低被竊取的危險，但透過木馬或是早期的 TRACE 仍會洩漏，因此在 session 的處理上更是要謹慎。

固定 SESSION 攻擊

固定 session 攻擊是常見的 session 攻擊方法，其利用 session 能夠在 URL 上設置，透過傳遞如：

test.com/index.php?sid=1a2b3c 的 URL ，使得被害者登入後，攻擊者可直接利用此 sid 登進被害者的帳號。

根本解決方法是在認證結束後，立即更換 sid 值，這樣攻擊者就無法再利用此 sid 登入了。

結論

在驗證使用者身分時須根據網頁的定向以決定是否使用單因素或多因素認證，並在處理 session 的地方多加留意，畢竟帳號一旦被入侵，通常會伴隨著嚴重的隱私問題，這在現在個資法實施後可說是相當重要。