会话固定
基本介绍
Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时应将客户端Session认证属性标识清空,如果未能清空客户端Session标识,在下次登录系统时系统会重复利用该Session标识进行认证会话,攻击者可利用该漏洞生成固定Session会话并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取
测试过程
在注销退出系统时对当前浏览器授权SessionID值进行记录,再次登录系统将本次授权SessionID值与上次进行比对校验,判断服务器是否使用与上次相同的SessionID值进行授权认证,若使用相同SessionID值则存在固定会话风险,测试流程如下图所示
测试示例
Step 1:登录系统并使用burpsuite抓包获取对应的SESSION信息
Step 2:退出系统重新登录,使用burpsuite抓包获取SESSION并于