Chào tất cả mọi người,

Khi truy cập vào HVA em có 1 thắc mắc nhỏ,

Code:

<iframe src="/hvaonline/templates/ping_session.html" height="0" width="0" frameborder="0" scrolling="no"></iframe>

Nhiệm vụ của nó là gì vậy?
Em có suy nghĩ như sau :
trong ping_session.html có dòng
Code:

<meta http-equiv="refresh" content="300">

Theo như em biết thì cứ 300s thì tự động sẽ lấy thêm session, tuy nhiên trong JsessionID của HVA lại không hề báo thời điểm kết thúc??
Hơn nữa, em muốn hỏi là từ đó có thể dựng lên 1 phương pháp giảm tải đối với 1 trận DDoS bằng cách gán liên tiếp các SESSIONID rồi destroy liên tục (mỗi lần request tới ping_session.html thì cấp 1 session mới và destroy cái cũ đi) được không ạ.??
 

ping_session.html chỉ đơn giản gởi 1 cái "ping" từ trình duyệt đến forum. Trước đó, khi người dùng truy cập đến forum thì đã hình thành một session rồi. Việc "ping" này chỉ giúp forum xác định xem sau 1/2 giờ, trình duyệt ấy còn online hay không, nếu không thì forum triệt tiêu session đã cấp.

Việc gán liên tiếp các session rồi destroy liên tục càng làm cho forum bị chết nhanh vì bắt forum làm việc quá nhiều. 

conmale wrote:

ping_session.html chỉ đơn giản gởi 1 cái "ping" từ trình duyệt đến forum. Trước đó, khi người dùng truy cập đến forum thì đã hình thành một session rồi. Việc "ping" này chỉ giúp forum xác định xem sau 1/2 giờ, trình duyệt ấy còn online hay không, nếu không thì forum triệt tiêu session đã cấp.

Việc gán liên tiếp các session rồi destroy liên tục càng làm cho forum bị chết nhanh vì bắt forum làm việc quá nhiều. 

Vậy sau 1 khoảng thời gian hva mới check xem người đó còn online ko bằng cách cho trình duyệt người đó tự động "ping" đến forum sau 1 khoảng thời gian à anh? Nếu cứ mở trình duyệt liên tục và đi ra ngoài thì nick sáng liên tục cả ngày? Em nhớ có 1 lần để trình duyệt 1 lúc thì phải login lại? Vậy thì cứ để trình duyệt và đi ra ngoài sau 1 khoảng thời gian thì sẽ tự động log out? 

Hì, hoá ra là không phải. Anh cho em hỏi thêm một câu :
Giả sử người tấn công nhằm mục đích vào 1 dynamic page, tức là tấn công chủ yếu làm ngập lụt SQL chứ không phải là webservice (số lượng request có hạn, nhưng thủ đoạn trong mỗi request thì có thừa )thì mình có thể gán sessionid cho mỗi lần trình duyệt, sau vài giây (khoảng 5-6s) lại lấy 1 session mới, huỷ bỏ session cũ và những ai không có đủ sessionn thì không thể tiếp cận tới SQL service (có thể chỉ hiện ra thông báo ngắn hạn).