会话固定攻击——强制使用已知会话ID
会话固定攻击——强制使用已知会话ID摘要:会话固定攻击诱使用户使用攻击者指定的会话ID登录,从而攻击者可用该ID劫持会话。本文讲解攻击手法(通过URL、子域名Cookie注入),并给出登录后重置会话ID的防御。关键词:黑客网站攻击;会话固定;渗透测试;会话劫持;Cookie安全一、引言如果应用在用户登录后不更新Session ID,攻击者可将自己的Session ID强加给用户,用户登录后攻击者利用相同ID窃取身份。二、攻击流程[*]攻击者获取一个合法Session ID(访问站点)。
[*]通过链接https://victim.com/?sessionid=attacker_session或子域名Cookie注入,让受害者使用该ID访问。
[*]受害者登录,服务器未改变Session ID。
[*]攻击者使用同一ID请求,获得登录状态。
三、防御
[*]登录成功后强制重新生成Session ID(如session_regenerate_id)。
[*]不使用URL传递Session ID。
四、总结会话固定防御很简单:认证后刷新会话标识。
页:
[1]