Appscan---会话标识未更新

最新推荐文章于 2023-03-02 11:40:28 发布
最新推荐文章于 2023-03-02 11:40:28 发布
阅读量2.5k 收藏
点赞数
分类专栏: AppScan

会话标识未更新 
严重性: 高 
类型: 应用程序级别测试 
WASC 威胁分类: 授权类型:会话定置 
CVE 引用: 不适用 
安全风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

--------------------------------------------------------------------------------
可能原因
Web 应用程序编程或配置不安全
技术描述
根据 WASC: 
“会话固定”是一种攻击技术,会强制用户的会话标识变成显式值。 
固定会话标识值的技术有许多种,会随着目标 Web 站点的功能而不同。从利用“跨站点脚本编制”到向 Web 站点密集发出先前生成的 HTTP 请求,都在这些技术范围内。用户的会话标识固定之后,攻击者会等待用户登录,然后利用预定义的会话标识值来假定用户的联机身份。

一般而言,对于标识值的会话管理系统有两种类型。第一种类型是“宽容”系统,可让 Web 浏览器指定任何标识。第二种类型是“严格”系统,只接受服务器端生成的值。当使用宽容系统时,不需要联系 Web 站点,便可以维护任何会话标识。在严格系统中,攻击者需要维护“陷阱会话”并且必须定期联系 Web 站点,才能防止闲置超时。 
对于会话固定,倘若没有活动保护,使用会话来识别已认证的用户的任何 Web 站点都可能受到攻击。使用会话标识的 Web 站点通常都是基于 cookie 的站点,但也会使用 URL 和隐藏的表单字段。不幸的是,基于 cookie 的会话最容易受到攻击。 
目前已识别的大多数攻击方法都是针对 cookie 的固定。 
相对于在用户登录 Web 站点之后,再窃取用户的会话标识,会话固定提供的机会多得多。 
在用户登录之前,攻击的活动部分便已启动。 
会话固定攻击过程通常由三个步骤组成: 
1) 安装会话 
攻击者针对目标 Web 站点设下“陷阱会话”,并获取这个会话的标识,攻击者也可以选择攻击中所用的任意会话标识。在某些情况下,必须反复联系 Web 站点,才能维护确定好的陷阱会话值。 
2) 固定会话 
攻击者将陷阱会话值引进用户的浏览器中,固定用户的会话标识。 
3) 进入会话 
用户登录目标 Web 站点之后,当使用固定会话标识值时,攻击者便可加以接管。”

----------------------------------------------

如果会话管理系统接受 URL 参数形式的会话标识,下列请求便可以强迫会话标识采用 URL 参数值。 
代码片段:

http://example/login.php?PHPSESSID=1234

根据 WASC: 
“利用客户端脚本发出新的会话标识 cookie 值 
-------------------------------------------------------------------------------------------

域中任何 Web 站点的“跨站点脚本编制”漏洞都可用来修改当前 cookie 值。

代码片段:

http://example/<script>document.cookie="sessionid=1234;%20domain=.example.dom";</script>

另一个类似的示例(使用 META 标记注入):

http://example/<meta%20http-equiv=Set-Cookie%20content="sessionid=1234;%20domain=.example.dom">

利用 HTTP 响应头发出 cookie 
-----------------------------------------------------------------------

攻击者强迫目标 Web 站点或域中的任何其他站点发出会话标识 cookie。许多方法都可以做到这一点: 
- 闯进域中的某 Web 服务器(例如:维护不良的 WAP 服务器)- 毒害某用户的 DNS 服务器,实质将攻击者的 Web 服务器添加到域中 - 在域内安装恶意的 Web 服务器(例如:在 Windows 2000 域的工作站上,所有工作站也都在该 DNS 域中) 
- 利用 HTTP 响应分割攻击”----------------------------------------------

登录过程前后会话标识的比较,显示它们并未更新,这表示有可能伪装用户。初步得知会话标识值后,远程攻击者有可能得以充当已登录的合法用户。 
利用“跨站点脚本编制”漏洞可以获取会话标识值,导致受害者的浏览器在联系易受攻击的站点时使用预定的会话标识;启用“固定会话”也可以获取会话标识值,导致站点在受害者的浏览器中显示预定的会话标识。 
受影响产品
该问题可能会影响各种类型的产品。
引用和相关链接
“基于 Web 的应用程序中的会话定置漏洞”,作者:Mitja Kolsek - Acros Security 
PHP 手册、会话处理功能、会话与安全性 
? Copyright IBM Corp. 2000, 2009. All Rights Reserved.

科敏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Appscan】问题解决—有验证码的系统,扫描过程检测不到会话
weixin_41439893的博客
06-03 8931
带有验证码的系统,通过Appscan扫描时,检测不到会话这个问题产生原因为动态验证码导致再次登录时验证码错误,因此没有获取到session。 以下分享几种解决方法: (一)利用外部浏览器登陆 (二)扫描过程登录方法使用 “提示” 登录方法选择 提示-记录第一次登录 此时,一定要记得勾选成 使用嵌入浏览器。 除了以上两种解决方法,还可以请开发帮忙暂时移除掉验证码的方式,来进行安全扫描;或者做一个万能的验证码来进行扫描。但个人比较推荐方法(一)或(二),毕竟求人不如求己啦,哈哈哈。 ...
appscan安全漏洞修复
12-21
会话标识在用户登录、权限更改或其他敏感操作后及时更新,可能导致会话劫持。解决办法是在关键操作后强制生成新的会话ID,确保即使会话被拦截,攻击者也无法利用旧的会话信息进行非法操作。 3. 跨站点请求伪造...
AppScan安全扫描:会话标识更新
爱兰河少
01-30 1301
    会话标识更新:在登录页面存在一个动态的验证码,这个验证码每次获取后会存放于客户端的session,而若登录失败后会再次跳回到登录页面,而在AppScan做安全扫描时就会误认为因该是新的请求会话,而新的会话则需要用新的Session(sessionId不一样即可),而我们很多时候登录失败后的错误提示信息会封装到session,这样会方便前台直接读取,因此就会导致会话标识更新的安全问...
Appscan漏洞之会话标识更新
arkqyo2595的博客
06-06 181
  本次针对Appscan漏洞会话标识更新进行总结,如下: 1. 会话标识更新 1.1、攻击原理   在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。 1.2、APPSCAN测试过程   AppScan会扫描“登录行为”前后的Cookie,其会对其会话信...
会话标识更新 java_Appscan漏洞之会话标识更新
weixin_42138703的博客
02-22 755
本次针对Appscan漏洞会话标识更新进行总结,如下:1. 会话标识更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。1.2、APPSCAN测试过程AppScan会扫描“登录行为”前后的Cookie,其会对其会话信息进行记录,在登录行为发生后,如果cooki...
AppScan登录回放识别任何会话模式
L_water的博客
03-02 3201
使用Appscan时,记录(推荐)录制后,在审查和验证页签下,点击“验证”遇到的一个阻碍:登录回放识别任何会话模式。正常来说,就应该把第一次登陆的SESSION当作全局变量使用的,每个页面使用这个SESSION就行了,就可以保持会话了。“会话ID”页签下的SESSION那一行。
会话标识更新 java_IBM Security Appscan漏洞--会话标识更新
weixin_27153203的博客
02-22 184
可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使***能够以该用户身份查看或变更用户记录以及执行事务 “会话标识更新”是危漏洞,AppScan会扫描“登录行为”前后的Cookie,其会对其的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie这个值没有发生变化,则判定为“会话标识更新”...
web安全扫描问题疑问 AppScan
03-18
5. **会话标识更新.jpg** - 图片可能展示了在会话管理一个常见的安全问题,即会话ID没有及时更新或回收。这可能导致会话固定攻击,攻击者可以利用更新会话ID来冒充合法用户。为了防止这种情况,开发者需要...
安全测试Bug解决方案
11-23
问题描述:会话标识更新可能会导致敏感信息泄露。 解决方案: * 在用户登录时始终使用新的会话标识,以防止敏感信息泄露。 * 在登录页面上加上一段代码:request.getSession().invalidate();//清空 session。 ...
javaweb安全问题解决方案
11-15
4. 会话标识更新登录后应销毁旧的会话并创建新的会话标识符,防止会话劫持。在Java,可以通过`request.getSession().invalidate()`清空Session,然后创建新Session。 5. 跨站点请求伪造(CSRF): 防止CSRF...
Appscan文帮助手册
11-23
Appscan文帮助手册,教你如何使用appscan 协助进行安全测试
javaWeb安全验证漏洞修复总结.doc
06-27
本文将对SQL注入、会话标识更新以及已解密登录请求这三种常见的安全漏洞进行深入探讨,并提出相应的修复策略。 1. WEB安全介绍 Web安全主要关注的是防止非法访问、数据泄露、恶意攻击等威胁。它涉及到多个层面,...
AppScan深入浅出】修复漏洞:会话标识更新危)
编程的世界
08-31 3788
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是危漏洞,AppScan会扫描“登录行为”前后的Cookie,其会对其的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后
【安全性测试】解决关于appscan基于登录会话检测失败问题
weixin_30856725的博客
06-27 5914
  有些问题久了忽然就想通怎么解决了,很神奇。这次要说的是,关于appscan无法检测到会话的问题,因为在百度上一直找不到相关的解决方法,这个问题困扰了我很久,今天终于找到方法解决了!   日常配置扫描内容:输入网址,打开记录登录信息,关闭浏览器,等待程序分析登录信息并记录到登录管理....问题就来了,登录管理提示了会话检测不到或识别页面   PS:由于扫描是外网,...
AppScan安全扫描,连接超时的问题(转载至好奇猫_6b35)
guojunzhu的博客
06-17 1958
AppScan安全扫描,连接超时的问题 问题描述:AppScan安全扫描初期正常,进行一段时间后,发现已测试的元素数不增加,发送的http请求数增加缓慢,扫描日志显示由于通信错误测试请求…………连接超时,如下图所示: 网上的说法是: 通常由于以下原因会导致发生通信问题: 原因 1 在Rational AppScan Standard的主机上安装的个人防火墙或防病毒软件会屏蔽向外发送的信息 原因 2 企业防火墙软件会将AppScan发送的请求当作对网站的攻击从而切断连接。 原因 3 当Rational Ap
appscan检测到其已不在会话环境
u012091079的博客
07-10 7883
转自:http://www.jqpress.com/post/463.aspx appscan检测到其已不在会话环境,解决这个问题在百度到51test貌似都没有正确的答案,作为码农兼山寨白帽子表示对测试人员的社区担忧啊,还是自己摸索到了原来是设置登录管理的,登录方法->自动,然后输入对应登录的用户名密码,即可。如下图: ...
IBM-APPSCAN
最新发布
09-12
IBM-APPSCAN是一款用于应用程序安全测试的软件。使用IBM-APPSCAN可以对系统进行全面自动扫描或手动探索来发现潜在的安全漏洞。在全面自动扫描,工具会对系统进行自动扫描,并显示扫描结果。但是需要注意的是,全面自动扫描可能无法扫描到类似插件的模块。在手动探索,测试人员可以对所有模块进行自由灵活的扫描操作,以获得更加细致的扫描结果。 使用IBM-APPSCAN的操作步骤如下: 1. 打开IBM-APPSCAN软件,并创建新的扫描。 2. 选择常规扫描,并选择Appscan(自动或手动)。 3. 在起始URL处输入将要扫描的系统的URL。 4. 选择自动或手动探索,输入用户名和密码。 5. 进行测试操作,录制脚本,并保存录制的脚本。 6. 导入录制的脚本,并添加完毕。 7. 继续仅探索或开始进行安全测试,捕获漏洞。 8. 扫描完毕后,查看扫描结果。 总之,IBM-APPSCAN是一款功能强大的应用程序安全测试工具,可以帮助用户发现系统的安全漏洞,并提供详细的扫描结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值