会话(Session)固定

最新推荐文章于 2024-11-01 00:36:40 发布
最新推荐文章于 2024-11-01 00:36:40 发布
阅读量6.2k 收藏 1
点赞数
分类专栏: 测试技术 文章标签: 安全测试
本文介绍了会话固定攻击的基本概念及其实现方式,并提供了几种防范措施。通过实例演示了如何利用预设的会话ID进行攻击,同时给出了通过重新生成会话ID来提升安全性的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

会话(Session)固定

  会话安全是一个复杂的话题,会话经常是攻击的目标也没有什么奇怪的。多数会话攻击都是通过攻击者模拟另外一个用户发送数据实现的。

  对于攻击者决定性的信息是会话标识,任何伪装的攻击都需要这个。有三个方法获得合法的会话标识:

  预测
  劫持
  固定
  预测依赖猜测合法的会话标识。根据 PHP 的会话原理,会话标识是相当随机的,这不大可能是薄弱环节。

  劫持一个合法的会话标识是很普通的会话攻击,并且有很多类似的方法。因为会话标识通常都通过 cookie 或者 GET 变量传递,不同之处就在于攻击操作或者传输过程。虽然有一部分浏览器在保持 cookie 上存在缺陷,例如 Internet Explorer,但是比起 GET 来说 cookie 不是那么容易暴露。因此对于允许使用 cookie 的用户,应当使用 cookie 作为传递会话标识更加安全的方法。

  固定是最简单的获得合法会话标识的方法。虽然它并不是非常难以防范,但是如果会话机制除了使用 session_start() 外没有其他方法的话,风险也是存在的。

  使用下面的脚本 session.php 来演示会话固定:
  

 

<?php

        session_start();

        if (!isset($_SESSION['visits']))
        {
        $_SESSION['visits'] = 1;
        }
        else
        {
        $_SESSION['visits']++;
        }

        echo $_SESSION['visits'];

        ?>
<?php

        session_start();

        if (!isset($_SESSION['visits']))
        {
        $_SESSION['visits'] = 1;
        }
        else
        {
        $_SESSION['visits']++;
        }

        echo $_SESSION['visits'];

        ?>

  在第一次访问这个页面之后,应当在屏幕上看到输出的内容 1。在接下来的访问中,这个值应会增加,用以计算访问页面的次数。

  为了实现会话固定,首先要确认没有已经存在的会话标识(可能要删除 cookie),然后访问这个 URL 并在其后添加 ?PHPSESSID=1234。接下来使用完全不同的浏览器(或者干脆使用不同的计算机)访问这个 URL 并在其后也添加 ?PHPSESSID=1234。 读者可能已经注意到在这次访问中没有输出 1,而是继续了刚才的会话。

  这是怎么发生的?多数会话固定攻击仅仅使用一个连接或者协议级的重定向让用户访问远程站点上含有会话标识的 URL。如果两个网站相当类似的话,用户可能无法留意到。由于攻击者确定了会话标识,这是已知的,这就可以实现如会话劫持这样的攻击。

  这样简单的攻击是非常容易防范的。如果一个活动的会话中用户没有提供存在的会话标识,则重新生成这个标识:
  

 

<?php

        session_start();

        if (!isset($_SESSION['initiated']))
        {
        session_regenerate_id();
        $_SESSION['initiated'] = true;
        }

        ?>

  这个简单防范的问题在于攻击者可以仅仅初始化一个有着指定会话标识的会话,然后使用这个标识来实现攻击。

  防范这种攻击,首先应当考虑,会话劫持只有在用户登录或者有较高权限时才有实际用途。所以,当权限发生变更时重新生成会话标识(例如,修改了用户名或密码),可以有效去除成功的会话固定攻击的风险。

转载:http://net.anquan365.com/Web/PHP/201109/165916.html

Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 3102
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
【漏洞挖掘】——134、 逻辑漏洞之Session会话安全
Fly_鹏程万里
07-26 722
Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时应将客户端Session认证属性标识清空,如果未能清空客户端Session标识,在下次登录系统时系统会重复利用该Session标识进行认证会话,攻击者可利用该漏洞生成固定Session会话并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取。
php session 会话固定漏洞
02-27
本书详细阐述了php中的session会话固定漏洞可能引发的安全问题,叙述了php代码审计的一些tips。
JavaWeb学习总结(十二)——Session
weixin_34411563的博客
07-23 1644
一、Session简单介绍   在WEB开发中,服务器可以为每个用户浏览器创建一个会话对象(session对象),注意:一个浏览器独占一个session对象(默认情况下)。因此,在需要保存用户数据时,服务器程序可以把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其它程序时,其它程序可以从用户的session中取出该用户的数据,为用户服务。 二、Session和Cookie的...
Session会话固定测试
酷狗直播-锦凡歆的博客
05-20 689
Session会话固定测试 Session 是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时, 应将客户端Session认证属性标识清空。如果未能清空客户端Session标识,在下次登录系 统时,系统会重复利用该Session标识进行认证会话。攻击者可利用该漏洞生成固定 Session会话,并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话 认证被窃取 ...
Session攻击手段(会话劫持/固定)及其安全防御措施
热门推荐
马学朝的博客
01-19 3万+
一、       概述        对于Web应用程序来说,加强安全性的第一条原则就是——不要信任来自客户端的数据,一定要进行数据验证以及过滤才能在程序中使用,进而保存到数据层。然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持
session会话固定测试
Sun_12_2的博客
11-01 284
session会话固定测试
Session Fixation Test:安全会话固定测试-开源
05-15
**会话固定攻击(Session Fixation)** 会话固定攻击是一种网络安全性问题,攻击者通过在用户登录前预先设定一个已知的会话ID(Session ID),然后在用户登录后继续使用这个固定会话ID,从而能够控制或劫持用户的...
防御会话劫持:Session固定与XSS攻击全面防护.pdf
最新发布
07-28
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
session会话固定攻击的理解
ITWANGBOIT的博客
10-27 2992
前提 浏览器端的sessionId和服务器端的session是对应的,在两者都不过期的情况下,他们之间的对应关系是不变的;黑客就是利用这一特性,将自己的sessionId发给系统的信任用户,当信任用户登录系统后,就可以把该sessionId对应的session变成完成认证的状态;这样以来,系统就把黑客当成了那个信任用户了。 举例 会话固定攻击的流程是这样的,以淘宝为例: 攻击者自己可以正常访问淘宝网站,在访问的过程中,淘宝网站生成了一个session,并把sessionId返回给攻击者。 攻击者利
Spring Security session固定策略
dhdhdh0920的专栏
09-21 747
session固定是指服务器在给客户端创建session后,在该session过期之前,它们都将通过该session进行通信。 我们可以在Security配置文件中,通过session-management的session-fixation-protection属性来改变其策略,有三种策略可供选择: migrateSession:这是默认值。其表示在用户登录后将新建一个session,同时将原session中的attribute都copy到新的session中; none:表示继续使用原.
PHP安全编程之session固定获取合法会话
爱代码也爱生活
08-10 982
关于会话,需要关注的主要问题是会话标识的保密性问题。如果它是保密的,就不会存在会话劫持的风险了。通过一个合法的会话标识,一个攻击者可以非常成功地冒充成为你的某一个用户。 一个攻击者可以通过三种方法来取得合法的会话标识: 猜测捕获固定 PHP生成的是随机性很强的会话标识,所以被猜测的风险是不存在的。常见的是通过捕获网络通信数据以得到会话标识。为了避免会话标识被捕获的风险,可以使用S
会话原理
cpongo5
10-20 226
最近公司招聘新员工,面试中有提到会话原理,我懵了一下。 会话原理是什么? 首先解释一下什么是会话。在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程,比如从输入账户密码进入操作系统到退出操作系统就是一个会话过程。会话较多用于网络上,TCP的三次握手就创建了一个会话,TCP关闭连接就是关闭会话。用平述的语言可以解释为:你拔打你女友的电话号码,你女友接听,然后...
Session固定攻击
weixin_34365635的博客
04-11 266
2019独角兽企业重金招聘Python工程师标准>>> ...
会话固定攻击(session fixation attack)及解决办法
半夏_2021的博客
04-29 1万+
会话固定攻击(session fixation attack)及解决办法
会话固定
weixin_30249203的博客
08-03 237
会话固定,解决方案: 在login.jsp 任意一处位置,比如末位,加一句 <%session.invalidate();%> 即可 转载于:https://www.cnblogs.com/xiaoliu66007/p/11296712.html...
Session Fixation session固定攻击
Author_CHEN的博客
09-15 1083
Session Fixation session固定攻击 参考 https://en.wikipedia.org/wiki/Session_fixation Session Fixation session固定攻击 一、常见攻击场景 1. 场景1 简单的攻击场景 2. 场景2 使用服务器生成的sessionID 3. 场景3 使用跨子域cookie攻击 二、常见防御手段 1. 不从 GET/POST 的变量中接受session的id 2. 每次登录都更改sessionID 3. 每次请求都生
Session定置
tooby的专栏
07-27 312
          [Web]Session定置攻击的过程和预防 08/30/2013 问题 确保用户的session标识符不会由第三方提供,例如挟持了用户的session的攻击者 方案 只要用户的授权范围改变,如成功登陆后,就通过session_regenerate_id()来重新生成session标识符 &lt;?...
会话固定原理与通信步骤说明
russ44的博客
09-18 2167
会话固定也是会话劫持的一种类型。会话劫持是攻击者偷走受害者与服务器建立链接的会话,而会话固定是攻击者事先建立一个会话,然后诱使受害者使用此会话进行登录,如图10-7所示。   简单地解释一下图10-7所示的流程。 ➊ 攻击者Bob以一个合法的用户身份登录www.buybook.com。 ➋ 服务器与Bob建立了一个会话sessionid为1234567(这里只是一个示
会话固定攻击
03-26
### 会话固定攻击的概念 会话固定攻击(session fixation attack)是一种安全漏洞,攻击者通过设置用户的会话 ID 并诱导用户使用此固定会话 ID 登录系统来实施攻击[^2]。一旦用户登录成功,攻击者可以利用这个已知的会话 ID 来冒充合法用户,从而获得未经授权的访问权限。 这种攻击的核心在于应用程序未能在用户身份验证前后更改会话标识符,使得攻击者能够轻松劫持受害者的会话[^1]。 --- ### 防御方法 #### 方法一:修改 Session ID 为了防止会话固定攻击,在用户完成身份验证后应立即生成一个新的会话 ID,并将其替换原有的会话 ID。这样即使攻击者事先设置了某个特定的会话 ID,也无法继续使用它来冒充受害者。 以下是基于 Spring Security 的实现方式: ```java @Override protected void onSuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, Authentication authentication) { HttpSession session = request.getSession(false); if (session != null) { String originalId = session.getId(); session.invalidate(); // 销毁旧的会话 session = request.getSession(true); // 创建新的会话 log.info("Session Id changed from {} to {}", originalId, session.getId()); } } ``` 上述代码片段展示了如何在用户成功登录后销毁当前会话并创建新会话的过程[^3]。 #### 方法二:启用框架内置防护功能 现代 Web 安全框架通常已经提供了针对会话固定攻击的默认保护措施。例如,在 Spring Security 中,默认情况下启用了会话固定攻击防护机制。开发者可以通过配置 `session-management` 属性进一步调整行为。 以下是一个典型的 XML 配置示例: ```xml <http> <session-management session-fixation-protection="migrateSession"/> </http> ``` 在此配置中,`migrateSession` 表示当检测到潜在的会话固定风险时,自动迁移现有会话至新会话 ID 而不丢失任何数据。 #### 方法三:加强 Cookie 设置 除了更换会话 ID 外,还可以增强 HTTP 响应头中的 Set-Cookie 参数安全性。建议采用以下最佳实践: - **HttpOnly**: 禁止 JavaScript 访问 cookie 数据。 - **Secure Flag**: 确保仅允许 HTTPS 协议传输 cookies。 - **SameSite Attribute**: 减少跨站点请求伪造的风险。 这些额外的安全措施有助于降低因不当处理 cookies 所带来的其他威胁。 --- ### 总结 综上所述,防范会话固定攻击的关键在于确保每次用户经过身份验证之后都会分配全新的唯一标识符作为其活动期间使用的凭证;同时结合主流开发工具包自带的功能模块简化实际操作过程中的复杂度提升效率减少人为失误几率。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值