会话固定漏洞小结——概念、原理、检测及防御

会话固定

概念

会话固定(Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。

原理

  • 访问网站时,网站会设置cookie中的session
  • 当用户等候后,cookie中的session保持不变
  • 只要获取登陆前的session内容,就可以知道登陆后的session

漏洞存在检测

访问网站(未登录):获取cookie信息,获取sessionid
       登录网站:查看cookie信息,获取sessionid
       查看登录前,登录后sessionid是否相同

漏洞防御

       在用户登录成功后重新创建一个session id
       登录前的匿名会话强制失效
       session id与浏览器绑定:session id与所访问浏览器有变化,立即重置
       session id与所访问的IP绑定:session id与所访问IP有变化,立即重置

©️2020 CSDN 皮肤主题: 精致技术 设计师:CSDN官方博客 返回首页