一、Session劫持
原理: 用户登入后网站保存了用户的session id,黑客通过暴力破解、预测或者使用网络探嗅拿到session id,以此获得合法的会话。
防御:1、添加HTTP Only,防止从cookie中读取session id
2、 HTTP Secure
二、会话固定
原理: 会话固定是会话劫持的一种,会话固定是诱骗用户使用指定的会话标识
防御:1、每当用户登入时对session id进行重置
2、session id 超过限制时间,进行重置session id
3、禁止客户端访问Cookie,设置HttpOnly
三、Session保持攻击
原理:用户拿到session id后,让session id一直保持服务器中,不让session id销毁,称为永久后门。一般cookie与session 都有过期时间,达到失效时间后就失效,有一些系统出于体验,当用户活跃时会保持session。
防御:1、设置session失效时间,如三天
2、用户环境发生变化使session 失效,如ip、UserAgent发生了变化
3、一个用户只能拥有一个session