固定SessionID 漏洞 攻击(session fixation attacks)

最新推荐文章于 2021-07-06 18:24:15 发布
最新推荐文章于 2021-07-06 18:24:15 发布
阅读量7k 收藏 3
点赞数
分类专栏: Java基础 经验技巧 文章标签: session

固定session 攻击:session fixation attacks
一个简单的登录控制
下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面
登录页面JSP

<body>
 <form action="SessionTestServlet" method="post"> 用户名:<input name="username" type="text" value=""/>
  密码:<input name="password" type="password" value=""/> <input name="submit" type="submit" value="Submit"/> 
 </form> 
 </body>

SessionTestServlet

protected void doPost(HttpServletRequest request,HttpServletResponse response) throws ServletException, IOException { 
    HttpSession session = request.getSession(); 
    String username=request.getParameter("username"); 
    String password=request.getParameter("password"); 
    if("admin".equals(username) && "pass".equals(password)){             session.setAttribute("login", true);  response.sendRedirect("hello.jsp"); }
else{ 
    response.sendRedirect("login.jsp"); 
    } }

登录后的页面hello.jsp

<body> <% boolean isLogin = (Boolean)request.getSession().getAttribute("login"); if(isLogin!=null){ out.print("Welcome"); }else{ out.print("Sorry!"); } %> </body>

匿名SessionID
运行着个简单的demo后,打开login.jsp,使用firebug或chrome会发现,即使没有登录,我们也会有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId
这里写图片描述

可以发现,登录前和登录后的JSESSIONID并没有改变,那么这就是一个固定SessionID的漏洞(详见《黑客攻防技术宝典-web实战》第七章)

简单的漏洞攻击
第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESSIONID,使其用该JESSIONID登录,获取用户登录后的JESSIONID。(这里作为示范,直接从浏览器中获取)
第二步,等被攻击用户登录,是JESSIONID成为已登录状态。
第三步,伪造请求,访问登录后的资源。
在用户登录使该JSESSIONID称为已登录的ID后,攻击者就可以利用这个ID伪造请求访问登录后的资源。下面是一个简单的python脚本

#!/bin/python import urllib, urllib2 request = urllib2.Request('http://localhost:9090/sec/hello.jsp') opener = urllib2.build_opener() //设置窃取的JSESSIONID request.add_header('Cookie','JSESSIONID=CF2D43B2C433F1A9FD78CE9D01E2E52D') hellodata=opener.open(request).read() print hellodata

执行该脚本,结果如下:
这里写图片描述
能够看到需要登录的页面

漏洞分析处理
出现该问题的主要原因是登录控制使用的固定的SessionID,登录前与登录后的SessionID是一样的。这样就使得攻击者可以简单的伪造一个SessionID诱使用户使用该SessionID登录,即可获取登录权限。如果配合XSS漏洞,则更加可以轻易获取登录权限。避免这一漏洞的方法主要有两种:
1.在登录后重置sessionID
在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。代码如下

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { 
    String username=request.getParameter("username"); 
    String password=request.getParameter("password"); 
    if("admin".equals(username) && "pass".equals(password)){ 
    //使之前的匿名session失效 
    request.getSession().invalidate();  
    request.getSession().setAttribute("login", true);  response.sendRedirect("hello.jsp"); }
    else{ response.sendRedirect("login.jsp"); } }

这样登录前与登录后的sessionID就不会相同
这里写图片描述
2.设置httpOnly属性
httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, 解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
主流的大多数浏览器已经支持此属性。httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat,>6.0.19或者>5.5.28的版本才支持httpOnly属性,具体方法是在conf/context.xml添加httpOnly属性设置

<Context useHttpOnly="true"> ... </Context>

另一种设置httpOnly的方式是使用Tomcat的servlet扩展直接写header

response.setHeader( "Set-Cookie", "name=value; HttpOnly");
IT布道者
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[zhuan]Session Fixation 攻防实战
曾健生的专栏
05-07 2300
http://amunet.blog.sohu.com/185676126.html  什么是Session Fixation ,翻译就是会话固定。     在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的。在维基百科中专门有个词条Session fixation,在此引述其攻击情景,防范策略参考原文。   攻击
Session Fixation
qiuqurenkong的博客
12-01 1175
Session fixation Attack 是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的。 可以通过使用用户登录后充值sessionid,或者设置httponly属性 来预防 推荐博文 固定SessionID 漏洞 攻击(session fixation attacks) 什么是session fixation攻击 Session
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6432
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
解决org.apache.shiro.session.UnknownSessionException
weixin_37364740的博客
11-22 2576
https://www.cnblogs.com/hafiz/p/7247005.html
关于Session Fixation
cnbird's blog
01-29 1069
前两天我转了篇文章到pst的邮件列表,是关于在struts 2框架下重新生成session的,引起了一些讨论,我觉得有必要在这里提醒下程序员们,可能他们早就遗忘了这种威胁了。 JSESSIONID Regeneration in Struts 2 实际上这就是一种针对Session Fixation 的防范。 Session Fixation 翻译过来就是 “Session
Session Fixation Test:安全会话固定测试-开源
05-15
**会话固定攻击Session Fixation)** 会话固定攻击是一种网络安全性问题,攻击者通过在用户登录前预先设定一个已知的会话ID(Session ID),然后在用户登录后继续使用这个固定的会话ID,从而能够控制或劫持用户的...
springmvc session
05-08
5. **Session Fixation Protection**: 为了防止 Session 固定攻击,Spring MVC 提供了自动的 Session 固定保护,当用户登录成功后,会自动创建一个新的 Session 并替换原有的 Session ID,避免恶意用户利用未过期的...
深入讲解PHP Session及如何保持其不过期的方法
10-23
- `session_regenerate_id()`: 生成新的session_id,用于安全目的,如防止Session Fixation攻击。 - `session_unset()`: 清除当前Session的所有变量。 - `session_destroy()`: 结束当前Session,删除与之关联的...
Session登录注销
09-22
在IT行业中,尤其是在Web开发领域,...在实际开发中,还需要考虑其他因素,如防止`session hijacking`(会话劫持)和`session fixation`(会话固定攻击,以及优化`session`管理,避免过多的`session`占用服务器资源。
JavaWeb项目打开网页出现Session Error的异常解决方案
08-25
但是,Session也存在一些安全隐患,例如Session劫持和Session fixation攻击等。为了防止这些攻击,我们需要对Session进行安全配置。 本文所介绍的解决方案,就是在web.xml配置文件中添加一条init-param标签,用于...
Session固定攻擊(Session Fixation)
热门推荐
曾健生的专栏
05-09 1万+
http://knowledge.twisc.ntust.edu.tw/doku.php?id=3%E4%BC%BA%E6%9C%8D%E7%AB%AF%E5%AE%89%E5%85%A8:3-2%E6%87%89%E7%94%A8%E7%A8%8B%E5%BC%8F%E5%BC%B1%E9%BB%9E:Session%E5%9B%BA%E5%AE%9A%E6%94%BB%E6%93%8A
Apache Tomcat样例目录session操纵漏洞
weixin_50464560的博客
07-06 2896
0x00 背景 前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来和大家分享下,有啥不对的地方还请各位拍砖指正。 Apache Tomcat默认安装包含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/SessionExample)允许用户对session进行操纵。因为session是全局通用的,所以用户可以通过操纵session获取管理员权限。 案例:http://www.wooyun.org/bugs/wooyun-201
session攻击
weixin_53386866的博客
02-28 1124
Session攻击 一、 关于session攻击 1.主要攻击方式 首先通过捕获或者固定合法用户的session。然后冒充该用户来访问系统 2、三种方式来获取一个有效的session标识符 预测 捕获(劫持) 固定 二、认证凭证预测 1.原理 ●预测需要攻击者清测出系统中使用的有效的session标识符,类似暴力破解 2.目前session安全 ●php生成随机的session id极其复杂,并且难于被预测出来 ●php生成session字符串无任何规律和顺序 三、会话劫持 1.含义 ●会话劫持 (essi
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1355
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
session fixation漏洞简述
kai_saaaa的博客
04-21 5164
什么是session fixation攻击 Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的。在维基百科中专门有个词条 http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻击情景,防范策略参考原...
session实现用户登录
最新发布
05-17
Session 是一种在 Web 应用程序中跟踪用户状态的机制。在用户登录时,可以创建一个 session,将用户的身份验证信息存储在 session 中,并将 session ID 存储在 cookie 中发送给客户端,以便于后续的访问。 以下是一个简单的实现方法: 1. 在用户登录成功时,创建一个 session,并将用户信息存储在其中。例如: ``` session_start(); $_SESSION['user_id'] = $user_id; ``` 2. 将 session ID 存储在 cookie 中发送给客户端。例如: ``` setcookie('session_id', session_id(), time() + 3600, '/'); ``` 其中,第一个参数为 cookie 的名称,第二个参数为 session ID,第三个参数为过期时间(这里设置为一个小时),第四个参数为 cookie 的路径。 3. 在后续的请求中,通过检查 cookie 中的 session ID 来验证用户的身份。例如: ``` session_start(); if (!isset($_SESSION['user_id']) || empty($_COOKIE['session_id']) || $_COOKIE['session_id'] != session_id()) { header('Location: login.php'); exit; } ``` 其中,第一行代码开始或恢复一个 session,第二行代码检查 session 中是否保存了用户信息,第三行代码检查 cookie 中是否包含 session ID,第四行代码检查 cookie 中的 session ID 是否与当前 session ID 相同。如果任何一个条件不满足,则重定向到登录页面。 注意:为了保护 session 的安全性,需要在服务器端禁用 session ID 的传递,以避免 session fixation 攻击。可以通过设置 session.use_only_cookies 为 true 来实现这一点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值