这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session ID来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序(只要该session id还是有效的，也就是没有被系统重新生成或者销毁)。 通过这种方式，攻击者就不需要捕获用户的Session id(该种方式难度相对稍大)。

    为了解决串号做过的一些事情： cookie里增加一个值，用来记录通过关键cookie生产的签名，这个签名是算法非常简单。每次请求到服务端的时候session框架代码里会对此签名进行匹配，如果和服务端获取的数据签名出来的值是一致的，则认为合法，否则清空session信息和cookie信息，让用户重新登录。

    服务器冗余和分拆是互联网服务中经常用来缓解访问压力的手段，那么检查或者管理多台同构服务器也是互联网行业工程师们绕不开的操作。经常面临的问题是：如何高效地在多台服务器上执行相同的命令，进行批量系统操作或查看。 Windows 下的 ssh 客户端 XShell 和 SecureCRT …

    前几天在客户现场，检查一个数据库时发现在OS上根本没有明确的数据库连接，但是在数据库内部却可以看到会话信息。想了一会，才明白过来，原来这是一个MTS系统，共享服务器模式已经很久没有遇到了，几乎忘却了。 在检查会话信息时，你会发现，用户进程的进程地址PADDR是相同的，都是812960DC