前两天我转了篇文章到pst的邮件列表,是关于在struts 2框架下重新生成session的,引起了一些讨论,我觉得有必要在这里提醒下程序员们,可能他们早就遗忘了这种威胁了。
JSESSIONID Regeneration in Struts 2
实际上这就是一种针对 Session Fixation 的防范。
Session Fixation 翻译过来就是 “Session 完成攻击”,以前的老的应用里可能比较常见这种问题,但是随着现在web应用越来越复杂,这种问题已经很少了。
先理解这个攻击,打个比方:
1. 你花钱买了一辆车
2. 你把车钥匙复制了一把
3. 你把这辆车卖给了一个冤大头
4. 冤大头同学花钱买了辆2手车,结果在某天你趁他不在,用事先复制好的钥匙把车开走了!
这个过程就是一个 Session Fixation 的过程,车钥匙就是 Session ID。
这类问题的本质在于: WEB应用在认证后没有改写或者更新session,从而导致了认证前的session还能使用。
如果攻击者 事先能够获知该session ID,则可以 欺骗用户使用该session ID进行认证,认证后, 由于session ID不变,但是该session变成了一个认证后的session,从而攻击者 可以直接使用该session ID以用户身份通过系统的认证。
在Web环境里,用户浏览页面时服务器会产生一个session,然后session ID会放在客户端,比如在浏览器URL里,或者是cookie里。用户持有这个session ID,服务器就可以找到他的session。用户输入用户名和密码后,系统对该session进行认证。认证成功,该session就是一个认证后的session,服务器就知道该用户认证过了,用户访问认证页面时就不再需要每次输入用户名和密码了。
比如lqqm论坛,就是把session ID放在url里
常见的利用 Session Fixation的方法一般是发送一个link到邮件里,诱骗用户点击后登录,使得该session通过认证,比如:
http://www.fvck.com/auth?session=xxxxxxx
要对抗这种攻击,很简单,就是 认证后重新生成一个session就可以了,甚至是 增改当前session都能起到这个目的。
像lqqm论坛,在登录后马上就把session重写了。tomcat等也是如此。
而现在大部分的网站、论坛等复杂的WEB应用,一般是把session ID放在cookie中,而用户登录后,cookie里一般会多很多东西,这些多出来的东西也可以保证用户不受sesssion fixation攻击的影响。
不过,session fixation攻击作为一种漏洞类型,不仅仅局限于用户登录的部分,只要是任何需要“ 认证”的地方,都需要考虑到这种威胁。
JSESSIONID Regeneration in Struts 2
实际上这就是一种针对 Session Fixation 的防范。
Session Fixation 翻译过来就是 “Session 完成攻击”,以前的老的应用里可能比较常见这种问题,但是随着现在web应用越来越复杂,这种问题已经很少了。
先理解这个攻击,打个比方:
1. 你花钱买了一辆车
2. 你把车钥匙复制了一把
3. 你把这辆车卖给了一个冤大头
4. 冤大头同学花钱买了辆2手车,结果在某天你趁他不在,用事先复制好的钥匙把车开走了!
这个过程就是一个 Session Fixation 的过程,车钥匙就是 Session ID。
这类问题的本质在于: WEB应用在认证后没有改写或者更新session,从而导致了认证前的session还能使用。
如果攻击者 事先能够获知该session ID,则可以 欺骗用户使用该session ID进行认证,认证后, 由于session ID不变,但是该session变成了一个认证后的session,从而攻击者 可以直接使用该session ID以用户身份通过系统的认证。
在Web环境里,用户浏览页面时服务器会产生一个session,然后session ID会放在客户端,比如在浏览器URL里,或者是cookie里。用户持有这个session ID,服务器就可以找到他的session。用户输入用户名和密码后,系统对该session进行认证。认证成功,该session就是一个认证后的session,服务器就知道该用户认证过了,用户访问认证页面时就不再需要每次输入用户名和密码了。
比如lqqm论坛,就是把session ID放在url里
常见的利用 Session Fixation的方法一般是发送一个link到邮件里,诱骗用户点击后登录,使得该session通过认证,比如:
http://www.fvck.com/auth?session=xxxxxxx
要对抗这种攻击,很简单,就是 认证后重新生成一个session就可以了,甚至是 增改当前session都能起到这个目的。
像lqqm论坛,在登录后马上就把session重写了。tomcat等也是如此。
而现在大部分的网站、论坛等复杂的WEB应用,一般是把session ID放在cookie中,而用户登录后,cookie里一般会多很多东西,这些多出来的东西也可以保证用户不受sesssion fixation攻击的影响。
不过,session fixation攻击作为一种漏洞类型,不仅仅局限于用户登录的部分,只要是任何需要“ 认证”的地方,都需要考虑到这种威胁。