对session会话固定攻击的理解

最新推荐文章于 2022-04-29 10:54:04 发布
最新推荐文章于 2022-04-29 10:54:04 发布
阅读量2.5k 收藏 3
点赞数 1
分类专栏: javaweb 文章标签: session cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITWANGBOIT/article/details/109308975
版权

前提

浏览器端的sessionId和服务器端的session是对应的,在两者都不过期的情况下,他们之间的对应关系是不变的;黑客就是利用这一特性,将自己的sessionId发给系统的信任用户,当信任用户登录系统后,就可以把该sessionId对应的session变成完成认证的状态;这样以来,黑客拿着sessionId访问系统时,系统就把黑客错当成了那个信任用户。

举例

会话固定攻击的流程是这样的,以淘宝为例:

  1. 攻击者自己可以正常访问淘宝网站,在访问的过程中,淘宝网站生成了一个session,并把sessionId返回给攻击者。
  2. 攻击者利用自己拿到的 sessionid 构造一个淘宝网站的链接,并把该链接发送给受害者。
  3. 受害者拿着该链接访问淘宝网站时(该链接中含有 sessionid),由于所携带的sessionId能在后端找到对应的session,所以不会再为该次请求生成新的session,且受害者手里的sessionId一直都是那个老的id。
  4. 受害者如果继续登录淘宝网站,登录成功后,对应的后端的session就是一个完成认证的会话了。
  5. 此后攻击者利用手里的 sessionid再访问系统时,系统会认为他就是那个完成登录的合法的用户,从而达到冒充受害者的目的。

实操

1、浏览器不禁用cookie,后端不适用URL重写的情况

攻击者可以把自己浏览器中名字为JSESSIONID的cookie的值,放入受害者的请求头里;该过程比较麻烦

2、浏览器不禁用cookie,后端适用URL重写的情况

该种情况相比于1,多一个受害者将自己浏览器中名字为JSESSIONID的cookie的值,拼接到发给受害者的url的后面;该过程相对麻烦

3、浏览器禁用cookie,后端适用URL重写的情况

受害者将自己URL后面的JSESSIONID,直接拼接到发给受害者的URL的后面;该过程比较简单

问题出现的本质

问题出现的本质就是sessionId一直不变,给了黑客可乘之机;如果受害者在未登录时使用一个sessionId,在登录之后服务端给用户重新生成一个sessionId的话,黑客手里的sessionId就没用了,就能防止会话固定攻击了。(重新生成sessionId时不一定是重新生成了session,即可以是新session,也可以是老session,取决与技术手段)

 

coding的大博哥
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是会话固定攻击?Spring Boot 中要如何防御会话固定攻击
2401_84046816的博客
04-10 408
无论是哪家公司,都很重视Spring框架技术,重视基础,所以千万别小看任何知识。面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,好了希望这篇文章对大家有帮助!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!中…(img-OFFVX9TY-1712753917851)]《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Session的一些重要特点
派拉斯兔子的博客
05-01 1445
Session的一些特点1. 当客户端关闭时,在服务器关闭、前后,获取session是否为同一个?2. 客户端不关闭,在服务器关闭后,两次获取的session是同一个吗?3. session的失效时间? 1. 当客户端关闭时,在服务器关闭、前后,获取session是否为同一个? 1.1 默认情况下,不是同一个session。 ①。在cn.itcast.session包下创建SessionDemo3...
会话固定攻击(session fixation attack)及解决办法
半夏_2021的博客
04-29 9978
会话固定攻击(session fixation attack)及解决办法
session的概念特点及原理
七一
07-31 3103
1.概念: 服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。HttpSession 2.快速入门: 1.获取HttpSession对象: HttpSession session = request.getSession(); 2.使用HttpSession对象: Object getArribute(String name) void setAttribute(String name,Object value) void removeAttribute(String name
Session攻击手段(会话劫持/固定)及其安全防御措施
热门推荐
马学朝的博客
01-19 3万+
一、       概述        对于Web应用程序来说,加强安全性的第一条原则就是——不要信任来自客户端的数据,一定要进行数据验证以及过滤才能在程序中使用,进而保存到数据层。然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持
Spring Security session固定策略
dhdhdh0920的专栏
09-21 666
session固定是指服务器在给客户端创建session后,在该session过期之前,它们都将通过该session进行通信。 我们可以在Security配置文件中,通过session-management的session-fixation-protection属性来改变其策略,有三种策略可供选择: migrateSession:这是默认值。其表示在用户登录后将新建一个session,同时将原session中的attribute都copy到新的session中; none:表示继续使用原.
Session Fixation Test:安全会话固定测试-开源
05-15
通过了解和使用像Session Fixation Test这样的开源工具,开发者可以更好地理解和应对会话固定攻击,提高其应用的安全性,保护用户的数据安全。同时,持续关注安全社区的最新动态,遵循最佳实践,也是保障系统安全的...
spring security 3.x session-management 会话管理失效
08-03
- 会话固定攻击是一种常见的安全威胁,攻击者通过获取用户的会话ID来冒充用户。Spring Security 3.x 提供了两种防护策略:会话重置和会话迁移。 - **会话重置**:当用户成功登录后,系统创建一个新的会话ID并替换...
jvm_session_demo:jvm 会话演示
06-06
7. **安全性考虑**: 管理会话时需要考虑安全性问题,如防止会话劫持、会话固定攻击和CSRF(跨站请求伪造)。有效的安全实践包括定期刷新会话ID、使用HTTPS、验证请求来源等。 8. **性能优化**: 会话过多会占用大量...
JS-session:一些长时间的js会话
04-12
防止会话劫持(Session Hijacking)、会话固定攻击Session Fixation)和CSRF(Cross-Site Request Forgery)是非常重要的。可以使用HTTPS加密传输、定期更新会话ID、验证请求来源等方式来提高安全性。 6. **会话...
Session实现购简单物车原理
09-07
7. **安全考虑**:在实际应用中,还需考虑Session劫持和Session固定攻击等问题,可以通过设置安全的Session ID、定期更新Session ID等方式提高安全性。 以上就是使用JSP、Servlet和Session实现购物车功能的基本原理...
php session 会话固定漏洞
02-27
本书详细阐述了php中的session会话固定漏洞可能引发的安全问题,叙述了php代码审计的一些tips。
session攻击
weixin_53386866的博客
02-28 1124
Session攻击 一、 关于session攻击 1.主要攻击方式 首先通过捕获或者固定合法用户的session。然后冒充该用户来访问系统 2、三种方式来获取一个有效的session标识符 预测 捕获(劫持) 固定 二、认证凭证预测 1.原理 ●预测需要攻击者清测出系统中使用的有效的session标识符,类似暴力破解 2.目前session安全 ●php生成随机的session id极其复杂,并且难于被预测出来 ●php生成session字符串无任何规律和顺序 三、会话劫持 1.含义 ●会话劫持 (essi
Session对象的特点
epm_kf6_10的博客
09-17 773
Session对象的特点     Session对象用于在会话范围内,记录每个客户端的访问状态,以便于跟踪每个客户端的操作状态,在会话存储的信息,在浏览器发出后续请求时可以获取这些会话的有效数据。 常用方法如下: 1).public void setAttribute(Sting name, Object value),设定指定名字的属性的值,并将它添加到session会话范围内,如果这个属
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1355
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ <body> <form action="SessionTestServlet" method="post"> 用户...
会话固定漏洞小结——概念、原理、检测及防御
7Riven's blog
12-29 6289
会话固定 概念 会话固定Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。 原理 访问网站时,网站会...
会话固定原理与通信步骤说明
russ44的博客
09-18 2084
会话固定也是会话劫持的一种类型。会话劫持是攻击者偷走受害者与服务器建立链接的会话,而会话固定攻击者事先建立一个会话,然后诱使受害者使用此会话进行登录,如图10-7所示。   简单地解释一下图10-7所示的流程。 ➊ 攻击者Bob以一个合法的用户身份登录www.buybook.com。 ➋ 服务器与Bob建立了一个会话sessionid为1234567(这里只是一个示
PHP安全编程之session固定获取合法会话
爱代码也爱生活
08-10 907
关于会话,需要关注的主要问题是会话标识的保密性问题。如果它是保密的,就不会存在会话劫持的风险了。通过一个合法的会话标识,一个攻击者可以非常成功地冒充成为你的某一个用户。 一个攻击者可以通过三种方法来取得合法的会话标识: 猜测捕获固定 PHP生成的是随机性很强的会话标识,所以被猜测的风险是不存在的。常见的是通过捕获网络通信数据以得到会话标识。为了避免会话标识被捕获的风险,可以使用S
Http会话管理演示文稿
最新发布
04-26
Http会话管理演示文稿,包含对Cookie和Session的详解介绍以及使用,能够帮助我们了解会话原理及编程中应用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值