关于PHPSESSIONID的一些发现

直接复制微信浏览器的链接后打开时会跳转到错误页面或者微信客户端链接

 

 或者

 

 

使用burpsuite抓到该公众号的流量包，发现只通过Cookie中存放的PHPSESSID进行鉴权，在这里这个sessionid就相当于一把钥匙，而且没失效时间，一旦被窃取，个人信息即会被盗，甚至其他操作

 

 

替换chrome浏览器里默认的phpsessionid后就可以正常访问了