session会话认证
定义:
Session是应用系统对浏览器客户端身份认证的属性标识。Session中的用户信息会存放在应用系统服务器中。当浏览器客户端使用自身的 Session标识访问服务器时,服务器会根据 Session标识来查找对应的用户身份信息。
危害:
当系统使用 Session会话授权认证机制配置存在缺陷时,会导致攻击者利用配置缺陷风险进行对用户会话权限的盗取、操控等操作。Session会话固定Session会话注销失效
seesion会话认证测试流程图
测试方法
测试
通过多次授权登录判断系统 Session认证机制是否存在会话固定通过对已授权的 Session认证值进行注销操作,判断系统是否存在会话注销失效
测试方法
获取已授权的用户身份 Session认证会话值对系统 Session认证机制做:会话固定测试、会话注销失效测试。
防御方案
系统在用户每次登录认证成功时应随机生成 Session会话认证值。在用户注销或退出应用系统时,服务器应及时销毁 Session认证会话信息并清空客户端浏览器Session属性标识。对每个生成的 Session认证会话配置生命周期(常规业务系统建议30分钟内),从而将有效降低用户会话认证时间过长而导致的信息泄漏风险
摘抄
这个世界的色彩与可观,
也在于每一个人对价值的看法和野心都大异其趣。
有人爱书,有人怕输,
一场人生,输赢之间变成了竞兽场。
-- 三毛 《送你一匹马》