验证玛~

 09:22:06
自动登陆论坛的问题
09:23:25
这叫自动登录？你要什么样的登陆啊？自动登录都是用cookies做的，单依靠sessions，不可能做到的 
09:24:51
我是想通过程序接收输入的用户名和密码，然后模拟http，建立socket登陆论坛，以获取信息，和小偷程序原理差不多 

09:25:28
叫你进不来也并不是不可能的事情啊 
09:25:56
也许吧，我就是死活都要进去啊，遇到阻碍了 
09:26:18
呵，我告诉你一个让你死活都进不去的办法吧，呵 
09:26:47
什么办法？ 
09:27:41
木马 
09:27:55
在用户一进入你的网站时，无论是否登录，一般都会分配一个session给他。用这个session的sessionid值，对其加密，再存入session中，sessionid，你的状态不发生改变情况下，只要不关浏览器，这个值是一直不变的 
09:28:13
这个知道
) 09:28:17
你就判断这个值是否符合你的session加密规则
) 09:28:44
如果符合，则让通过，否则不让。随便你怎么模拟socket 
09:29:21
因为sessionid值，在每次进入网站时是随机的，不一样的。加密规则你不知道，你就进不去 
09:29:39
目前状态是我知道加密规则 
09:30:05
那你就送一个session头就可以了，呵 
09:30:12
我可以模拟加密的， 
09:30:29
那还能有什么问题呢
) 09:30:44
关键是：他不是用sessionid做的种子加密，他是另外产生的一个随机数
) 09:31:15
不可能！丫产生一个随机数，自己都不知道是什么值，下一个页面如何来判断？
) 09:31:32
session["id"]=随机数
) 09:31:41
这样就行了
) 09:31:51
晕，那判断呢？
) 09:31:57
以后调用session["id"]做为加密种子
) 09:32:07
什么判断？
) 09:32:24
那你就也注一个id
) 09:32:35
作为种子，随机数，他自己都不知道会等于几
) 09:32:38
你管他
) 09:32:39
怎么获取这个id值？
) 09:33:21
一旦产生这个随机数之后，他就是一个定值了，以后所以的程序都利用这个定值，无论加解密

) 09:35:42
呵，你还没上他网站呢，他有这个定值怕什么
) 09:35:48
你就拿自己当定值


) 09:36:16
你是说自己随便生成一个顶值？
) 09:37:29
是啊
) 09:37:39
骗都骗了，从头骗到尾喽
梦) 09:38:55
行不通，因为在验证密码页面是通过session["id"]调用的种子来解密，自己随便生成的一个值无法注册session啊
) 09:40:15
你注册一个session['id']不就行了嘛
) 09:41:06
我注册有什么用啊，人家服务器又没注册这个session