固定SessionID漏洞

最新推荐文章于 2022-12-16 16:06:02 发布
最新推荐文章于 2022-12-16 16:06:02 发布
阅读量1.3k 收藏 8
点赞数 2
分类专栏: 系统安全 文章标签: JSP 应用服务器 网络应用 Python 浏览器

 

by BoBo

 

一个简单的登录控制

下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面
登录页面JSP

/*省略头部信息*/
<body>
<form action="SessionTestServlet" method="post">
	用户名:<input name="username" type="text" value=""/>
	密码:<input name="password" type="password" value=""/>
	<input name="submit" type="submit" value="Submit"/>
</form>
</body>

SessionTestServlet

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
	    HttpSession session = request.getSession();
	    String username=request.getParameter("username");
	    String password=request.getParameter("password");
	    if("admin".equals(username) && "pass".equals(password)){
	        session.setAttribute("login", true);
	        response.sendRedirect("hello.jsp");
	    }else{
	        response.sendRedirect("login.jsp");
	    }
	}

登录后的页面hello.jsp

<body>
<%
	boolean isLogin = (Boolean)request.getSession().getAttribute("login");
	if(isLogin!=null){
	    out.print("Welcome");
	}else{
	    out.print("Sorry!");
	}
%>
</body>

匿名SessionID

运行着个简单的demo后,打开login.jsp,使用firebug或chrome会发现,即使没有登录,我们也会有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId

输入用户名密码后,在查看JSESSIONID

可以发现,登录前和登录后的JSESSIONID并没有改变,那么这就是一个固定SessionID的漏洞(详见《黑客攻防技术宝典-web实战》第七章)

简单的漏洞攻击

第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESSIONID,使其用该JESSIONID登录,获取用户登录后的JESSIONID。(这里作为示范,直接从浏览器中获取)
第二步,等被攻击用户登录,是JESSIONID成为已登录状态。
第三步,伪造请求,访问登录后的资源。
在用户登录使该JSESSIONID称为已登录的ID后,攻击者就可以利用这个ID伪造请求访问登录后的资源。下面是一个简单的python脚本

#!/bin/python
import urllib, urllib2

request = urllib2.Request('http://localhost:9090/sec/hello.jsp')
opener = urllib2.build_opener()
//设置窃取的JSESSIONID
request.add_header('Cookie','JSESSIONID=CF2D43B2C433F1A9FD78CE9D01E2E52D')
hellodata=opener.open(request).read()
print hellodata

执行该脚本,结果如下:

能够看到需要登录的页面

漏洞分析处理

出现该问题的主要原因是登录控制使用的固定的SessionID,登录前与登录后的SessionID是一样的。这样就使得攻击者可以简单的伪造一个SessionID诱使用户使用该SessionID登录,即可获取登录权限。如果配合XSS漏洞,则更加可以轻易获取登录权限。避免这一漏洞的方法主要有两种:
1.在登录后重置sessionID
在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。代码如下

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
	    String username=request.getParameter("username");
	    String password=request.getParameter("password");
	    if("admin".equals(username) && "pass".equals(password)){
                //是之前的匿名session失效
	        request.getSession().invalidate();
	        request.getSession().setAttribute("login", true);
	        response.sendRedirect("hello.jsp");
	    }else{
	        response.sendRedirect("login.jsp");
	    }
	}

这样登录前与登录后的sessionID就不会相同

2.设置httpOnly属性
httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, 解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
主流的大多数浏览器已经支持此属性。httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat,>6.0.19或者>5.5.28的版本才支持httpOnly属性,具体方法是在conf/context.xml添加httpOnly属性设置

<Context useHttpOnly="true">
...
</Context>

另一种设置httpOnly的方式是使用Tomcat的servlet扩展直接写header

response.setHeader( "Set-Cookie", "name=value; HttpOnly");
iteye_18917
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全-会话ID漏洞
道阻且长,行则将至。
07-07 3543
概述 以下摘自《白帽子讲 web 安全》 密码与证书等认证手段,一般仅仅用于登录(Login)的过程。当登陆完成后,用户访问网站的页面,不可能每次浏览器请求页面时,都再使用密码认证一次。因此,当认证完成后,就需要替换一个对用户透明的凭证。这个凭证就是SessionID。 当用户登陆完成后,在服务器端就会创建一个新的会话(Session),会话中会保存用户的状态和相关信息。服务器端维护所有在线用户的...
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6459
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
CSRF攻击的解释
qq_45948401的博客
12-16 144
CSRF的相关解释
jsessionid问题解决方案
u011277123的博客
11-25 2959
bigdatafish 2016-11-24 17:31 jessionid会话盗用漏洞,现在是两种方案: 1. 方案一:用户IP和用户会话绑定,目前F5代理后获取不到真实机器的IP , 2.方案二:判断jessionid来源,如果来源URL,就做403界面重定下,拒绝访问,目前方案一获取不到IP地址,只能用方案测试。 代码如下: package com.tydic.db
WEB安全漏洞之会话标识未更新漏洞(.net强制更新会话标识)
yinshengchen的博客
07-27 659
【代码】WEB安全漏洞之会话标识未更新漏洞(.net强制更新会话标识)
PHP Session_Regenerate_ID函数双释放内存破坏漏洞
10-28
在PHP中,`session_regenerate_id()`函数是用于生成一个新的会话ID并替换当前的会话ID,以增加安全性,防止会话固定攻击。然而,在某些特定版本的PHP中,这个函数存在一个严重的问题——双释放内存破坏漏洞。 该...
Session Fixation Test:安全会话固定测试-开源
05-15
会话固定攻击是一种网络安全性问题,攻击者通过在用户登录前预先设定一个已知的会话ID(Session ID),然后在用户登录后继续使用这个固定的会话ID,从而能够控制或劫持用户的会话。这种攻击方式可能导致敏感信息泄露...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)
最新发布
05-06
6. session/cookie管理:不安全的session和cookie管理可能导致会话劫持、会话固定等安全问题。正确设置cookie属性(如HttpOnly和Secure),使用HTTPS协议,定期刷新session ID,以及限制会话时间,都是保护用户会话...
PHP安全漏洞
09-27
8. **Session固定攻击**:攻击者迫使用户使用特定的session ID,以便在后续交互中继续冒充用户。确保session ID的随机性和唯一性,避免在URL中传递session ID。 9. **HTTP响应拆分攻击**:通过在响应头中注入换行符...
011-Web安全基础7 - 会话管理漏洞.pptx
10-11
会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成...
刷新下页面SessionID 为何变了呢?
zanhai的专栏
05-28 4082
最新一个前后端分离的项目,出现了一个奇怪的现象。 通过API接口实现前后端分离的项目,请求session ID 刷新就会改变,造成不断生成新的SESSION文件 1、$.ajax解决方案: 设置: xhrFields: { withCredentials: true } $.ajax({ url:api+'user/islogin', xhrFields: { withCredentials: true }, data:postdata, ......
session值更新问题
ganlubaba666的博客
07-24 3401
今天写项目的时候碰到了一个问题,我明明修改了session的值,可是session的值没有更新,而是在我发起二次请求的时候才进行更新 res.send({ 'success':true, 'msg':'上传成功' }) req.session['user'].path = npath; console.log(re...
web漏洞--会话管理漏洞
xsh951103的博客
01-07 2780
目录 1.会话劫持 2.会话固定 1.会话劫持 1.概念 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 2.攻击步骤 目标用户需要先登录站点 登录成功后,该用户会得到站点提供的一个会话标识SessionID 攻击者通过某种攻击手段捕获Session ID 攻击者通过捕获到的Se..
Java SessionID漏洞分析处理
岁月沉淀,积累财富
11-13 1845
一般我们在实际项目当中经常出现黑客,在js方式获取我们在浏览器当中存储的cookie资料,绕开登录并登录主机进行资料的访问;一帮有以下两种方式,防止此类事情发生: 1.在登录后重置sessionID 在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。代码如下 protected void doPos
java防止session伪造攻击_spring security防御会话伪造session攻击
weixin_31889919的博客
02-13 736
1.攻击场景session fixation会话伪造攻击是一个蛮婉转的过程。比如,当我要是使用session fixation攻击你的时候,首先访问这个网站,网站会创建一个会话,这时我可以把附有jsessionid的url发送给你。http://unsafe/index.jsp;jsessionid=1pjztz08i2u4i你使用这个网址访问网站,结果你和我就会公用同一个jsessionid了...
漏洞解决方案-固定会话攻击
smart的博客
09-16 2930
漏洞解决方案-固定会话攻击漏洞概述攻击步骤防御方法代码参考 漏洞概述        会话固定(Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。 攻击步骤
WEB中SESSION盗用问题
老照片
09-06 826
WEB中SESSION盗用问题
Apache Shiro 1.2.4反序列化漏洞复现
weixin_48739941的博客
04-21 503
(1) cd vulhub/shiro/CVE-2016-4437 切换目录。 (2)docker-compose up -d 启动。 (3)访问: http://192.168.43.128:8080/login;jsessionid=F8C504BD06F484504DDCD30D7410DABF (4)打开ShiroExploit.jar:java -jar .\ShiroExploit.jar,添加受害网站路径: http://192.168.43.128:8080/login
cookie sessionid
05-05
Cookie和SessionID都是Web应用中用于跟踪用户身份的一种机制。 Cookie是服务器发送给客户端的一小段文本,包含了一些关于用户的信息,如用户ID、登录状态等。当用户访问同一个网站时,浏览器会自动向服务器发送这些信息,服务器通过这些信息来识别用户身份。 SessionID是服务器为每个用户生成的一个唯一标识符,用于跟踪用户的会话信息。当用户访问服务器时,服务器会创建一个新的SessionID,并将其存储在服务器端,同时将SessionID发送给客户端的浏览器浏览器在后续的访问中会将SessionID包含在请求头中发送给服务器,服务器通过SessionID来识别用户身份,并保存用户的会话信息。 通常情况下,Cookie和SessionID都是用于实现用户身份验证和会话管理的重要工具。但是,它们的使用也可能会引发安全问题,比如会话劫持、Cookie欺骗等攻击。因此,在开发Web应用时,需要注意对Cookie和SessionID的使用进行安全性评估和风险管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值