因会话管理疏忽引发的安全漏洞
会话劫持会话劫持(Session Hijack)是指攻击者通过某种手段拿到了用户的会话ID,并非法使用此会话ID伪装成用户,达到攻击的目的。获得会话ID的途径● 通过非正规的生成方法推测会话ID● 通过窃听或XSS攻击盗取会话ID● 通过会话固定攻击(Session Fixation)强行获取会话ID案例:会话固定攻击跨站点请求伪造指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。影响:● 利用已通过认证的用户权限更新
复制链接