漏洞描述
Session
是应用系统对浏览器客户端身份认证的属性标识,在用户注销或退出应用系统时,系统应将客户端Session
认证属性标识清空。
危害
:如果未能清空
Session
认证会话,该认证会话将持续有效,此时攻击者获得该Session
认证会话会导致用户权限被盗取。
漏洞检测
该项测试主要在用户注销退出系统授权后,判断授权认证
SessionID
值是否依然有 效。若授权认证SessionID
依然有效则存在风险。
如下,账号登陆系统后再退出账号,此时cookie还有效,通过重放该数据包,还能访问到本应需要登录系统后才能访问到的系统信息。存在会话注销问题
漏洞修复
在用户注销或退出应用系统时,服务器应及时销毁
Session
认证会话信息并清空客户端浏览器Session
属性标识。