wap网站的安全之session

　　现在WAP的网站也不少了吧。手机现在非常普及

　　不过手机网站也有漏洞

　　比如 不用XSS即可盗取sid 之后登录。

　　来做个比喻，比如广州电脑培训的学生在某个手机网站注册之后是 XXX.COM/?sid=123123123

　　当然猜是不可能了

　　这就要借助网站日志的来路记录

　　在这个论坛评个论，内容是http://www.safe121.com，发表出去，URL被转换成连接了

　　让人点击了，他的SID就被日志记录下来了(来路)

　　所以这就产生了跳过验证，以前QQ邮箱就有这个问题

　　举个例子,我写了个记录来路的php:

         假如他点击了

　　就被记录了。

　　这种漏洞的修复方法也很简单:

　　1.屏蔽URL的连接

　　2.采用跳转，比如强制替换成这样 http://www.ynbdqn.cn/no-link.php?links=http://www.google.com