简介: Session 是应用系统对浏览器客户端身份认证的属性标识,在用户注销或关闭浏览器时,系统应将客户端Session 认证属性标识清空
危害: 如果未能清空 Session 认证会话,该认证会话将持续有效,此时攻击者获得该Session 认证会话会导致用户权限被盗取
漏洞挖掘:
1、登录状态点击注销,浏览器后退,若返回数据说明存在漏洞;若跳转登录页面说明无漏洞
2、登录状态点击注销,重复发送带有之前sessionID的数据包,若有数据返回说明存在漏洞
3、登录状态,长时间未操作(根据业务需求)仍然可进行访问和操作
修复建议:
1、在用户注销或退出应用系统时,服务器应及时销毁Session认证会话信息并清空客户端浏览器Session属性标识
2、对每个生成的Session认证会话配置生命周期