什么是session fixation攻击

最新推荐文章于 2021-12-08 21:00:54 发布
最新推荐文章于 2021-12-08 21:00:54 发布
阅读量501 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/heroShane/blog/197049
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

本文为转载学习

原文链接:http://www.gooseeker.com/cn/node/knowledgebase/whatissessionfixation

攻击情景

原文中Alice是受害者,她使用的一个银行网站http://unsafe/存在session fixation漏洞,Mallory是攻击者,他想盗窃Alice的银行中的存款,而Alice会点击Mallory发给她的网页连接(原因可能是Alice认识Mallory,或者她自己的安全意识不强)。

攻击情景1:最简单:服务器接收任何会话ID

过程如下:

  1. Mallory发现http://unsafe/接收任何会话ID,而且会话ID通过URL地址的查询参数携带到服务器,服务器不做检查

  2. Mallory给Alice发送一个电子邮件,他可能假装是银行在宣传自己的新业务,例如,“我行推出了一项新服务,率先体验请点击:http://unsafe/?SID=I_WILL_KNOW_THE_SID",I_WILL_KNOW_THE_SID是Mallory选定的一个会话ID。

  3. Alice被吸引了,点击了 http://unsafe/?SID=I_WILL_KNOW_THE_SID,像往常一样,输入了自己的帐号和口令从而登录到银行网站。

  4. 因为服务器的会话ID不改变,现在Mallory点击 http://unsafe/?SID=I_WILL_KNOW_THE_SID 后,他就拥有了Alice的身份。可以为所欲为了。

攻击情景2:服务器产生的会话ID不变

过程如下:

  1. Mallory访问 http://unsafe/ 并获得了一个会话ID(SID),例如服务器返回的形式是:Set-Cookie: SID=0D6441FEA4496C2

  2. Mallory给Alice发了一个邮件:”我行推出了一项新服务,率先体验请点击:http://unsafe/?SID=0D6441FEA4496C2"

  3. Alice点击并登录了,后面发生的事与情景1相同

攻击情景3:跨站cookie(cross-site cooking)

利用浏览器的漏洞,即使 http://good 很安全,但是,由于浏览器管理cookie的漏洞,使恶意网站 http://evil/ 能够向浏览器发送 http://good 的cookie。过程如下:

  1. Mallory给Alice发送一个邮件“有个有趣的网站:http://evil 很好玩,不妨试试”

  2. Alice访问了这个链接,这个网站将一个会话ID取值为I_WILL_KNOW_THE_SID 的 http://good/ 域的cookie设置到浏览器中。

  3. Mallory又给Alice发了个邮件:“我行推出了一项新服务,率先体验请点击:http://good/”

  4. 如果Alice登录了,Mallory就可以利用这个ID了



转载于:https://my.oschina.net/heroShane/blog/197049

weixin_33975951
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
固定会话攻击场景复现
薛定谔嘚喵博客
04-07 220
当网站存在xss攻击时,可以利用工具beef-xss进行cookie值的窃取。cookie值的丢失可以不需要用户名和密码登录后台。
session fixation漏洞简述
kai_saaaa的博客
04-21 5165
什么是session fixation攻击 Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的。在维基百科中专门有个词条 http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻击情景,防范策略参考原...
session攻击
weixin_53386866的博客
02-28 1125
Session攻击 一、 关于session攻击 1.主要攻击方式 首先通过捕获或者固定合法用户的session。然后冒充该用户来访问系统 2、三种方式来获取一个有效的session标识符 预测 捕获(劫持) 固定 二、认证凭证预测 1.原理 ●预测需要攻击者清测出系统中使用的有效的session标识符,类似暴力破解 2.目前session安全 ●php生成随机的session id极其复杂,并且难于被预测出来 ●php生成session字符串无任何规律和顺序 三、会话劫持 1.含义 ●会话劫持 (essi
Session攻击手段(会话劫持/固定)及其安全防御措施
热门推荐
马学朝的博客
01-19 3万+
一、       概述        对于Web应用程序来说,加强安全性的第一条原则就是——不要信任来自客户端的数据,一定要进行数据验证以及过滤才能在程序中使用,进而保存到数据层。然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持
Session固定攻擊(Session Fixation)
曾健生的专栏
05-09 1万+
http://knowledge.twisc.ntust.edu.tw/doku.php?id=3%E4%BC%BA%E6%9C%8D%E7%AB%AF%E5%AE%89%E5%85%A8:3-2%E6%87%89%E7%94%A8%E7%A8%8B%E5%BC%8F%E5%BC%B1%E9%BB%9E:Session%E5%9B%BA%E5%AE%9A%E6%94%BB%E6%93%8A
Session Fixation Test:安全会话固定测试-开源
05-15
**会话固定攻击Session Fixation)** 会话固定攻击是一种网络安全性问题,攻击者通过在用户登录前预先设定一个已知的会话ID(Session ID),然后在用户登录后继续使用这个固定的会话ID,从而能够控制或劫持用户的...
springmvc session
05-08
5. **Session Fixation Protection**: 为了防止 Session 固定攻击,Spring MVC 提供了自动的 Session 固定保护,当用户登录成功后,会自动创建一个新的 Session 并替换原有的 Session ID,避免恶意用户利用未过期的...
Session登录注销
09-22
在IT行业中,尤其是在Web开发领域,...在实际开发中,还需要考虑其他因素,如防止`session hijacking`(会话劫持)和`session fixation`(会话固定)攻击,以及优化`session`管理,避免过多的`session`占用服务器资源。
php session操作类
12-22
6. **管理Session ID**:类可能还提供了管理Session ID的功能,如`regenerate_id`方法,用于在特定条件下生成新的Session ID,防止Session Fixation攻击。 7. **安全措施**:为了提高安全性,类可能包含了防止...
session共享
12-03
同时,定期清理无用的Session,防止Session Fixation攻击。 9. **性能优化**:过多的Session可能会消耗大量服务器资源,因此需要合理设计Session策略,如适当设置Session Timeout,减少无效Session的存在,或者采用...
session的常用方法。
weixin_30354675的博客
10-25 540
void setAttribute(String attribute, Object value) 设置Session属性。value参数可以为任何Java Object。通常为Java Bean。value信息不宜过大String getAttribute(String attribute) 返回Session属性Enumeration getAttributeNames() 返回Session...
WEB安全:session fixation的防范
步行者的专栏
12-26 2197
网络安全是现在越来越重要,现在的各种攻击手段很多。比如URL参数的改窜,HIDDEN值的改窜等简单盗窃信息等。    session fixation攻击也是我们网站开发中必须要解决的一种安全隐患。什么是session fixation?    下面是网上的一个解释(http://hi.baidu.com/aullik5/blog/item/ebbed3a39e50bcabcbefd0d1.h
Spring Security学习之会话管理
qq_38586378的博客
09-10 467
概念 会话:session,对于无状态的HTTP 实现用户状态可维持的一种解决方案。 HTTP的无状态特点使得用户给与在服务器交互的过程中,每个请求间没有关联性,即用户的访问没有身份记录,站点无法为用户提供个性化服务。session的诞生解决这个问题(利用session保存用户身份) 服务器通过与用户约定,每个请求都会携带一个id类的信息,使得不用请求间有了关联;id也方便与用户绑定,就可把不同请求归类到同一用户 基于此方案,为了使同一个用户的每个请求都携带一个id,需要一个载体
关于Session Fixation
天青色等烟雨 而我在等你
11-16 526
  前两天我转了篇文章到pst的邮件列表,是关于在struts 2框架下重新生成session的,引起了一些讨论,我觉得有必要在这里提醒下程序员们,可能他们早就遗忘了这种威胁了。  JSESSIONID Regeneration in Struts 2   实际上这就是一种针对Session Fixation 的防范。  Session Fixation 翻译过来就是 “Session 完成攻击”...
Session攻击
壮乡码农
12-08 1352
一、Session劫持 原理: 用户登入后网站保存了用户的session id,黑客通过暴力破解、预测或者使用网络探嗅拿到session id,以此获得合法的会话。 防御:1、添加HTTP Only,防止从cookie中读取session id 2、 HTTP Secure 二、会话固定 原理:会话固定是会话劫持的一种,会话固定是诱骗用户使用指定的会话标识 防御:1、每当用户登入时对session id进行重置 ...
漏洞:会话固定攻击session fixation attack)
weixin_50464560的博客
07-05 818
什么是会话固定攻击? 会话固定攻击session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 整个攻击流程是: 1、攻击者Attacker能正常访问该应用网站; 2、应用网站服务器返回一个会话ID给他; 3、攻击者Attacker用该会话ID构造...
如何防止Session伪造攻击
大肚牛的博客--magento, SEO技术交流
12-12 2477
什么是SESSION伪造攻击: Session伪造攻击是一种非常流行的针对session攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击. 任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSI
session的安全性问题
brook_的博客
07-10 5893
转载地址:https://blog.csdn.net/u013205877/article/details/77512180 没有绝对的安全! 1.cookie 我们都知道Http是一种无状态性的协议,这种协议不要求浏览器在每次请求中标明他自己的身份,每次发个请求回个相应就完事了,那怎么校验发请求的人的身份呢,这就催生了Cookies. 本质上Cookies就是http的一个扩展...
SessionAuthenticationStrategy 的作用,是干什么的
最新发布
07-24
1. ChangeSessionIdAuthenticationStrategy:在用户成功登录后,会生成一个新的会话 ID,以防止 Session Fixation 攻击。 2. CompositeSessionAuthenticationStrategy:组合多个身份验证策略,并按照指定的顺序进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值