Session fixation


Nov 28 2016

Session fixation

首页 » 渗透测试 » Session fixation   

Session fixation

前两天我转了篇文章到pst的邮件列表,是关于在struts 2框架下重新生成session的,引起了一些讨论,我觉得有必要在这里提醒下程序员们,可能他们早就遗忘了这种威胁了。

JSESSIONID Regeneration in Struts 2 

实际上这就是一种针对Session Fixation 的防范。

Session Fixation 翻译过来就是 “Session 完成攻击”,以前的老的应用里可能比较常见这种问题,但是随着现在web应用越来越复杂,这种问题已经很少了。

先理解这个攻击,打个比方:

1. 你花钱买了一辆车
2. 你把车钥匙复制了一把
3. 你把这辆车卖给了一个冤大头
4. 冤大头同学花钱买了辆2手车,结果在某天你趁他不在,用事先复制好的钥匙把车开走了!


这个过程就是一个 Session Fixation 的过程,车钥匙就是 Session ID

这类问题的本质在于:WEB应用在认证后没有改写或者更新session,从而导致了认证前的session还能使用。

如果攻击者事先能够获知该session ID,则可以欺骗用户使用该session ID进行认证,认证后,由于session ID不变,但是该session变成了一个认证后的session,从而攻击者可以直接使用该session ID以用户身份通过系统的认证。

Web环境里,用户浏览页面时服务器会产生一个session,然后session ID会放在客户端,比如在浏览器URL里,或者是cookie里。用户持有这个session ID,服务器就可以找到他的session。用户输入用户名和密码后,系统对该session进行认证。认证成功,该session就是一个认证后的session,服务器就知道该用户认证过了,用户访问认证页面时就不再需要每次输入用户名和密码了。


比如lqqm论坛,就是把session ID放在url里
\


常见的利用Session Fixation的方法一般是发送一个link到邮件里,诱骗用户点击后登录,使得该session通过认证,比如:
http://www.2cto.com /auth?session=xxxxxxx
要对抗这种攻击,很简单,就是认证后重新生成一个session就可以了,甚至是增改当前session都能起到这个目的。

像lqqm论坛,在登录后马上就把session重写了。tomcat等也是如此。

而现在大部分的网站、论坛等复杂的WEB应用,一般是把session ID放在cookie中,而用户登录后,cookie里一般会多很多东西,这些多出来的东西也可以保证用户不受sesssion fixation攻击的影响。


不过,session fixation攻击作为一种漏洞类型,不仅仅局限于用户登录的部分,只要是任何需要“认证”的地方,都需要考虑到这种威胁。

 

如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签:这篇文章木有标签

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «burpsuite_pro_v1.7.11破解版(含下载地址) | ubuntu16.04安装metasploit+postgresql»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~