用户访问服务器的时候，一般服务器都会分配一个身份证 session id 给用户，用于标识。用户拿到 session id 后就会保存到 cookies 上，之后只要拿着 cookies 再访问服务器，服务器就知道你是谁了。

但是 session id 过于简单就会容易被人伪造。根本都不需要知道用户的密码就能访问，用户服务器的内容了。

下面就去看看一些不太合理的 sessionId 创建方式（这部分有点傻，正常人都不会这样设计

页面也比较简单的，点击 generate 就会生成一个 session Id。

初级

生成的策略是很简单的。

就在 cookies 上 dvwaSessionId 上 +1s，这种是肯定不行的。太容易被人伪造

再看看代码

<?php 

$html = ""; 

if ($_SERVER['REQUEST_METHOD'] == "POST") {

    if (!isset ($_SESSION['last_session_id'])) {

        $_SESSION['last_session_id'] = 0;

    }

    $_SESSION['last_session_id']++;

    $cookie_value = $_SESSION['last_session_id'];

    setcookie("dvwaSession", $cookie_value);

}

?>

如果用户 SESSION中的 last_session_id 不存在就设为 0，这样 dvwaSession 的冲突也太多了吧，都已经不是唯一了。

中级

第二种明显就是时间戳了。

依然是比较容易猜出来了

代码如下

<?php 

$html = ""; 

if ($_SERVER['REQUEST_METHOD'] == "POST") {

    $cookie_value = time();

    setcookie("dvwaSession", $cookie_value);

}

?>

高级

看起来很高级，应该是 md5 处理了一下。

于是我在 https://www.cmd5.com/ 这个网站，md5 解密了一下。

。。。

再发一次请求。。。

也就是说跟初级是一样的策略，只是换汤不换药，

后台代码是这样的

<?php 

$html = ""; 

if ($_SERVER['REQUEST_METHOD'] == "POST") {

    if (!isset ($_SESSION['last_session_id_high'])) {

        $_SESSION['last_session_id_high'] = 0;

    }

    $_SESSION['last_session_id_high']++;

    $cookie_value = md5($_SESSION['last_session_id_high']);

    setcookie("dvwaSession", $cookie_value, time()+3600, "/vulnerabilities/weak_id/", $_SERVER['HTTP_HOST'], false, false);

} 

?>

不可能

不可能级别使用随机数+时间戳+固定字符串（"Impossible"）进行 sha1 运算，作为 session Id，完全就不能猜测到。

<?php

$html = ""; 

if ($_SERVER['REQUEST_METHOD'] == "POST") {

    $cookie_value = sha1(mt_rand() . time() . "Impossible");

    setcookie("dvwaSession", $cookie_value, time()+3600, "/vulnerabilities/weak_id/", $_SERVER['HTTP_HOST'], true, true);

}

?>

也行吧，可以作为其中一种生成 session Id 的策略。

而 tomcat 的 session id 值生成的策略，是一个随机数+时间+ jvm 的id值（jvm的id值会根据服务器的硬件信息计算得来），如果出现冲突就会再生成一个。