session被注销后还会重新生成吗_安全测试初探(一)session测试篇

最新推荐文章于 2023-04-08 00:32:36 发布
最新推荐文章于 2023-04-08 00:32:36 发布
阅读量495 收藏 1
点赞数
文章标签: session被注销后还会重新生成吗
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34487308/article/details/113627289
版权

cd9cb8ff22a31737859d7e131a5c7ee3.png

1.1.Session会话固定测试

1.1.1测试原理和方法 Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出系统时应将客户端session认证属性标识清空。如果未能及时清空客户端session标识,下次登录时系统会重复利用该session标识进行认证会话。攻击者可以利用该漏洞生成固定的session会话,诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取

1.1.2.测试过程

在注销退出系统时,对当前浏览器授权sessionid值进行记录。再次登录系统,将本次授权sessionid值与上次进行对比校验,若使用相同sessionid则存在固定会话风险。一种可操作的攻击场景如下

49eccdcc9a9605aa516f6ad6aef1412c.png

1.1.3.截取注销退出时请求中的sessionid

d2f46c9938727d1a36536b61cb538799.png

sessionid=s_968137dd437e6d6408cb3e79c0f65f88;

1.1.4.截取再次登录时的sessionid

eaba87e86425199fc47e7a2a10ded1e3.png

sessionid=s_968137dd437e6d6408cb3e79c0f65f88;

通过比较,注销退出时的sessionid和再次登录时的sessionid是一样的

总结:存在session会话固定漏洞

1.2.Session会话注销测试

1.2.1.测试过程

在用户注销退出系统后,判断授权认证的SessionID值是否依然有效。

a767a625eaa56d69ddad2dc14809d40c.png

1.2.2.

步骤一:浏览器设置代理后,点击“退出”,然后拦截到退出请求

步骤二:去掉代理,用户再次退出,退出成功

步骤三:将拦截到的退出请求再次发送给服务器

851e5e21fac678029a6f7c58d4a5cd56.png

0000f2374d5dea3eecf8deea661cb594.png

**总结:**服务器返回没有报错,说明在上一次用户退出的时候服务器没有及时清空存储的sessionid导致同一个sessionid可以再次退出,没有要求重新登录

**修复建议:**在用户注销或退出时,服务器应及时销毁session认证信息并清空客户端浏览器session属性标识

原文链接:

https://blog.csdn.net/chen_xu_yuan/article/details/88944058

a007abbf1400b7065cddcf525382013a.png 往期福利课: 自动化case自动生成框架实现: https://ke.qq.com/course/1709662?tuin=967526f#term_id=101687040 Python语言免费学:https://ke.qq.com/course/1406058?taid=7088353897182314&tuin=967526f 

Charles抓包修改请求:

https://ke.qq.com/course/2024627?tuin=967526f#term_id=102125829   app专项测试: https://ke.qq.com/course/2024627?tuin=967526f#term_id=102125829 往期好文推荐

测试工程师面试过程中大型翻车现场面试最容易被问又答不好的一个问题,你品,你细品由一个肝颤的bug开始 聊下手机修改定位宝宝都能懂的https原理讲解

07b90ff7672937780f5241c164017dfb.png

72af7aff3d925ab427e533581d4724aa.png

Lynnuss
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则出现session冲突的问题
session值字符串重新生成session
weixin_30251587的博客
05-14 156
使用session_decode($str)可将session原始格式的字符串重新生成session 转载于:https://www.cnblogs.com/fanelephant/archive/2013/05/14/3078200.html
话固定漏洞,注销重新生产Session ID
localhost
03-24 328
注销的代码最后增加: request.getSession().invalidate();
Java中session的销毁
热门推荐
12-11 3万+
【概述】 之前文章中介绍过SessionSession是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。今天我们来聊一下如果销毁session。 【Session
php中注销话和销毁,PHP中SESSION注销与清除
weixin_39629876的博客
04-02 114
本文给大家分享的是PHP中SESSION注销与清除的方法和示例,非常的实用,有需要的小伙伴可以参考下。1、每个页面都必须开启session_start()后才能在每个页面里面使用session。2、session_start()初始化session,第一次访问生成一个唯一话ID保存在客户端(是基于cookie保存的),用户下次访问时,,session_start()检查有没有话ID,如果...
安全测试学习笔记一(Cookie&Session)
03-23
一,Session:含义:有始有终的一系列动作\消息1,隐含了“面向连接”和“保持状态”两种含义2,一种用来在客户端与服务器之间保持状态的解决方案3,也指这种解决方案的存储结构“把××保存在session里”二,http...
用nginx配置tomcat集群时,测试tomcat是否session共享的Demo 直接可用
最新发布
07-09
用nginx配置tomcat集群时,测试tomcat是否session共享的Demo。直接可用。 本项目只使用了servlet + jsp 进行请求,用于测试tomcat的session是否共享,无其他任何依赖包。 把项目直接放在tomcat的webapp下即可运行...
性能测试基本知识之Session的本质
03-23
性能测试基本知识之Session的本质.有一点我们必须承认,大多数web应用程序都离不开session的使用。这文章将结合php以及http协议来分析如何建立一个安全的话管理机制。性能测试基本知识之Session的本质  有...
Session对性能测试的影响
03-23
Session介绍Cookie是Web产品测试过程中不可缺少的一部分,我们需要通过Cookie信息辨别用户,得到属于自己的结果数据,例如DWR接口测试过程中,需要在请求头信息中传入测试用户的cookie信息,  Session介绍  Cookie...
Web 攻防之业务安全:Session注销测试.
网络安全领域___专研者.
04-08 801
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。
根据sessionid找回session
星雨小驿
09-10 4435
我们知道,客户端连接服务器的时候,服务器创建一个session,用于客户端连接。如果客户端遇到浏览器关闭等情况,再打开浏览器新建一个session,如果我们在服务器session失效之前把它找回,可用此方法。http://localhost:8080/testlcwlyl/MyJsp.jsp;jsessionid=48A64EFB86EE7B4296B5EB06BA405156    Syst
Seesion注销测试
酷狗直播-锦凡歆的博客
05-20 573
Seesion注销测试 测试原理和方法 Session 是应用系统对浏览器客户端身份认证的属性标识,在用户注销退出应用系 统时,系统应将客户端Session认证属性标识清空。如果未能清空Session认证话,该认 证话将持续有效,此时攻击者获得该Session认证导致用户权限被盗取 锦凡歆在‘来疯’直播唱歌最好听 修复建议 在用户注销退出应用系统时,服务...
Servlet – HttpSession 登录注销及使用JavaScript定时刷新话防止话服务器过期及无活动超时自动注销示例
allway2的博客
04-04 4279
一般来说,计算语言中的术语“话”是指用户活动在网站上发生的一段时间。每当您登录应用程序或网站时,服务器都应验证/识别用户并跟踪整个应用程序中的用户交互。为了实现这一点,Java Web Server 支持称为 HttpSession 的 servlet 标准话接口来执行所有与话相关的活动。 HttpSession 接口 Java servlet在 javax.servlet.http 包中有HttpSession (I)。此界面提供了一种方法来识别超过一页请求或访问网站的用户。Servlet 容器
sessionId生成机制
weixin_30616969的博客
09-07 2716
目录 面试问道这个我居然不知道怎么回答,当然也是因为我确实没有研究过。下面就是百度了一文章后简单回答这个问题。 参考:http://www.cnblogs.com/sharpxiajun/p/3395607.html http://lavasoft.blog.51cto.com/62575/275589/ sessionid是一个话的key,浏览器第一次访问服务器在服务...
烂泥:学习ubuntu远程桌面(二):远程桌面话管理
weixin_34194087的博客
06-18 354
2019独角兽企业重金招聘Python工程师标准>>> ...
session的安全问题
m0_55306747的博客
05-16 2697
有个疑问,据说是session身份验证比cookie身份验证更安全,因为session安全验证是存储在服务器,但是服务器仍然是需要去读取存储用户浏览器中的session id,然后依照这个session id去寻找session,这和读取cookie比起来,感觉也安全不到哪里去啊,我如果获取了目标的session id,不是照样可以伪造身份吗?你把session信息存储在服务端又安全在哪里呢? 刚刚查了一下,相关的资料,得出了确实两种方法都半斤八两,安全性差不多的结论,以下摘抄自某文章 (没错,其实
业务安全漏洞总结
good good study
11-26 6866
登录认证模块 暴力破解 暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密 码进行逐一比较,直到找出正确的账号与密码
JMeter接口测试:脚本录制与SessionID获取
在JMeter中,通过查看结果树,我们可以定位到SessionID被设置或更新的响应,这有助于在回放脚本时正确处理话信息,确保测试的准确性。在接口测试中,理解并正确处理SessionID对于模拟真实的用户行为至关重要。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值