Appscan---会话标识未更新

最新推荐文章于 2023-03-02 11:40:28 发布
转载 最新推荐文章于 2023-03-02 11:40:28 发布 · 2.6k 阅读 · 0

本文深入探讨了Web应用中会话标识未更新的问题,详细解释了其严重性、可能的原因及安全风险,并提供了防范措施。通过分析会话固定攻击的过程,文章揭示了如何利用跨站点脚本编制、HTTP响应头发出cookie等手段进行攻击,以及如何通过改进会话管理系统来提升安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

会话标识未更新 
严重性: 高 
类型: 应用程序级别测试 
WASC 威胁分类: 授权类型:会话定置 
CVE 引用: 不适用 
安全风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

--------------------------------------------------------------------------------
可能原因
Web 应用程序编程或配置不安全
技术描述
根据 WASC: 
“会话固定”是一种攻击技术,会强制用户的会话标识变成显式值。 
固定会话标识值的技术有许多种,会随着目标 Web 站点的功能而不同。从利用“跨站点脚本编制”到向 Web 站点密集发出先前生成的 HTTP 请求,都在这些技术范围内。用户的会话标识固定之后,攻击者会等待用户登录,然后利用预定义的会话标识值来假定用户的联机身份。

一般而言,对于标识值的会话管理系统有两种类型。第一种类型是“宽容”系统,可让 Web 浏览器指定任何标识。第二种类型是“严格”系统,只接受服务器端生成的值。当使用宽容系统时,不需要联系 Web 站点,便可以维护任何会话标识。在严格系统中,攻击者需要维护“陷阱会话”并且必须定期联系 Web 站点,才能防止闲置超时。 
对于会话固定,倘若没有活动保护,使用会话来识别已认证的用户的任何 Web 站点都可能受到攻击。使用会话标识的 Web 站点通常都是基于 cookie 的站点,但也会使用 URL 和隐藏的表单字段。不幸的是,基于 cookie 的会话最容易受到攻击。 
目前已识别的大多数攻击方法都是针对 cookie 的固定。 
相对于在用户登录 Web 站点之后,再窃取用户的会话标识,会话固定提供的机会多得多。 
在用户登录之前,攻击的活动部分便已启动。 
会话固定攻击过程通常由三个步骤组成: 
1) 安装会话 
攻击者针对目标 Web 站点设下“陷阱会话”,并获取这个会话的标识,攻击者也可以选择攻击中所用的任意会话标识。在某些情况下,必须反复联系 Web 站点,才能维护确定好的陷阱会话值。 
2) 固定会话 
攻击者将陷阱会话值引进用户的浏览器中,固定用户的会话标识。 
3) 进入会话 
用户登录目标 Web 站点之后,当使用固定会话标识值时,攻击者便可加以接管。”

----------------------------------------------

如果会话管理系统接受 URL 参数形式的会话标识,下列请求便可以强迫会话标识采用 URL 参数值。 
代码片段:

http://example/login.php?PHPSESSID=1234

根据 WASC: 
“利用客户端脚本发出新的会话标识 cookie 值 
-------------------------------------------------------------------------------------------

域中任何 Web 站点的“跨站点脚本编制”漏洞都可用来修改当前 cookie 值。

代码片段:

http://example/<script>document.cookie="sessionid=1234;%20domain=.example.dom";</script>

另一个类似的示例(使用 META 标记注入):

http://example/<meta%20http-equiv=Set-Cookie%20content="sessionid=1234;%20domain=.example.dom">

利用 HTTP 响应头发出 cookie 
-----------------------------------------------------------------------

攻击者强迫目标 Web 站点或域中的任何其他站点发出会话标识 cookie。许多方法都可以做到这一点: 
- 闯进域中的某 Web 服务器(例如:维护不良的 WAP 服务器)- 毒害某用户的 DNS 服务器,实质将攻击者的 Web 服务器添加到域中 - 在域内安装恶意的 Web 服务器(例如:在 Windows 2000 域的工作站上,所有工作站也都在该 DNS 域中) 
- 利用 HTTP 响应分割攻击”----------------------------------------------

登录过程前后会话标识的比较,显示它们并未更新,这表示有可能伪装用户。初步得知会话标识值后,远程攻击者有可能得以充当已登录的合法用户。 
利用“跨站点脚本编制”漏洞可以获取会话标识值,导致受害者的浏览器在联系易受攻击的站点时使用预定的会话标识;启用“固定会话”也可以获取会话标识值,导致站点在受害者的浏览器中显示预定的会话标识。 
受影响产品
该问题可能会影响各种类型的产品。
引用和相关链接
“基于 Web 的应用程序中的会话定置漏洞”,作者:Mitja Kolsek - Acros Security 
PHP 手册、会话处理功能、会话与安全性 
? Copyright IBM Corp. 2000, 2009. All Rights Reserved.

Appscan】问题解决—有验证码的系统,扫描过程中检测不到会话
weixin_41439893的博客
06-03 9750
带有验证码的系统,通过Appscan扫描时,检测不到会话这个问题产生原因为动态验证码导致再次登录时验证码错误,因此没有获取到session。 以下分享几种解决方法: (一)利用外部浏览器登陆 (二)扫描过程中,登录方法使用 “提示” 登录方法选择 提示-记录第一次登录 此时,一定要记得勾选成 使用嵌入浏览器。 除了以上两种解决方法,还可以请开发帮忙暂时移除掉验证码的方式,来进行安全扫描;或者做一个万能的验证码来进行扫描。但个人比较推荐方法(一)或(二),毕竟求人不如求己啦,哈哈哈。 ...
Appscan 检测到其已不在会话环境中,请重新登录
weixin_42532350的博客
08-12 1389
在扫描含验证码的系统时,往往会提示“会话已过期”、“检测到其已不再会话环境中”、“请重新登录”等。遇到这种情况,我们可以通过——绕过会话检测的方式进行操作。在浏览器输入被测地址,回车进入页面,返回appscan查看是否连接上。继续进行,登录操作,手动探索被测页面,完成后点击【停止记录】,保存。5、根据实际情况,选择【开始完全扫描】或【仅测试】4、进入火狐浏览器,【设置】——【网络设置】2、扫描配置向导——【我将稍后启动扫描】3、手动探索——外部客户机——其他。配置代理地址及端口号,保存。
AppScan登录回放识别任何会话模式
L_water的博客
03-02 4187
使用Appscan时,记录(推荐)录制后,在审查和验证页签下,点击“验证”遇到的一个阻碍:登录回放识别任何会话模式。正常来说,就应该把第一次登陆的SESSION当作全局变量使用的,每个页面使用这个SESSION就行了,就可以保持会话了。“会话ID”页签下的SESSION那一行。
AppScan安全扫描:会话标识更新
爱兰河少
01-30 1481
    会话标识更新:在登录页面中存在一个动态的验证码,这个验证码每次获取后会存放于客户端的session中,而若登录失败后会再次跳回到登录页面,而在AppScan做安全扫描时就会误认为因该是新的请求会话,而新的会话则需要用新的Session(sessionId不一样即可),而我们很多时候登录失败后的错误提示信息会封装到session中,这样会方便前台直接读取,因此就会导致会话标识更新的安全问...
Appscan漏洞之会话标识更新
arkqyo2595的博客
06-06 251
  本次针对Appscan漏洞会话标识更新进行总结,如下: 1. 会话标识更新 1.1、攻击原理   在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。 1.2、APPSCAN测试过程   AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信...
会话标识更新 java_Appscan漏洞之会话标识更新
weixin_42138703的博客
02-22 840
本次针对Appscan漏洞会话标识更新进行总结,如下:1. 会话标识更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。1.2、APPSCAN测试过程AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cooki...
会话标识更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上优快云了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
IBM Security Appscan漏洞--跨站点请求伪造
YouXu
03-16 7964
漏洞介绍: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
appscan如何进行web端安全性测试_web端常见安全漏洞测试结果分析-- appscan
weixin_35323111的博客
12-30 1162
基于appscan测试结果分析:一、XSS跨站脚本指的是攻击者往Web页面里插入恶意html代码,通常是JavaScript编写的恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。是最常见的Web应用程序安全漏洞之一JavaScript可以用来获取用户的cookie、改变网页内容、URL调转,存在XSS漏洞的网站,可以盗取用户cookie、黑掉页面...
会话标识更新 java_IBM Security Appscan漏洞--会话标识更新
weixin_27153203的博客
02-22 255
可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使***能够以该用户身份查看或变更用户记录以及执行事务 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”...
Appscan中文帮助手册
11-23
Appscan中文帮助手册,教你如何使用appscan 协助进行安全测试
【安全性测试】解决关于appscan基于登录会话检测失败问题
w36680130的博客
07-31 2669
【安全性测试】解决关于appscan基于登录会话检测失败问题
AppScan深入浅出】修复漏洞:会话标识更新(中危)
编程的世界
08-31 3974
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后
AppScan安全扫描,连接超时的问题(转载至好奇猫_6b35)
guojunzhu的博客
06-17 2308
AppScan安全扫描,连接超时的问题 问题描述:AppScan安全扫描初期正常,进行一段时间后,发现已测试的元素数不增加,发送的http请求数增加缓慢,扫描日志显示由于通信错误测试请求…………连接超时,如下图所示: 网上的说法是: 通常由于以下原因会导致发生通信问题: 原因 1 在Rational AppScan Standard的主机上安装的个人防火墙或防病毒软件会屏蔽向外发送的信息 原因 2 企业防火墙软件会将AppScan发送的请求当作对网站的攻击从而切断连接。 原因 3 当Rational Ap
appscan检测到其已不在会话环境中
u012091079的博客
07-10 8140
转自:http://www.jqpress.com/post/463.aspx appscan检测到其已不在会话环境中,解决这个问题在百度到51test貌似都没有正确的答案,作为码农兼山寨白帽子表示对测试人员的社区担忧啊,还是自己摸索到了原来是设置登录管理的,登录方法->自动,然后输入对应登录的用户名密码,即可。如下图: ...
关于AppScan安全检测会话标识更新
y562363753的博客
08-20 4109
会话标识更新 严重性: 中 CVSS 分数: 6.4 URL: http://119.60.12.114:18079/NXZDWRYZXJC/action/user/login 实体: login (Page) 风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务 原因: Web 应用程序编程或配置不...
appscan会话检测失败
最新发布
08-07
<think>首先,用户的问题是关于AppScan会话检测失败的,我需要基于提供的引用和系统指令来回答。引用中提到了AppScan的相关信息,特别是引用[1]描述了AppScan的功能,引用[3]讨论了会话标识更新的问题,这可能与AppScan会话检测失败相关。 关键点: - 用户的问题:AppScan会话检测失败的原因和解决方案。 - 引用[3]详细解释了会话标识更新的原因和解决方法,这直接关联到会话检测问题。 - 引用[1]提供了AppScan的背景,但可能不直接解决失败原因。 - 引用[2]是关于经信委项目的,似乎不相关,所以我不需要引用它。 系统指令: 1. 所有行内数学表达式必须使用$...$格式。在这个问题中,可能没有数学表达式,所以我可以忽略。 2. 独立公式使用$$...$$格式并单独成段。同样,可能不需要。 3. LaTeX语法正确:确保任何数学内容正确格式化。 4. 使用中文回答:整个响应必须用中文。 5. 生成相关问题:在最后添加相关问题。 6. 回答中引用的段落末尾自然地添加引用标识:例如,[^1]。 7. 回答结构清晰,帮助用户逐步解决问题。 8. 参考站内引用:用户提供了引用,我需要基于这些引用回答问题。 用户可见层指令: - 回答结构清晰,逐步解决问题。 - 保证回答真实可靠:基于提供的引用。 结构化回答: 1. **介绍问题**:简要解释AppScan会话检测失败的可能原因。 2. **分析原因**:基于引用[3],讨论会话标识更新的原因。 3. **提供解决方案**:基于引用[3],给出具体的解决步骤。 4. **添加相关问题**:在末尾生成相关问题。 引用处理: - 在回答中,当引用特定内容时,添加引用标识。例如,提到会话标识问题时,加[^3]。 - 引用[1]可能用于背景,但核心是引用[3]。 相关引用内容: - 引用[3]:解释了会话标识更新的原因(在登录时session ID不变),并给出了解决方案(在登录页面上添加代码来invalidate session和清除cookie)。 - 引用[1]:描述了AppScan的功能,如漏洞检测、合规性等,但直接涉及会话检测失败。 所以,焦点是引用[3]的内容。 回答大纲: 1. **开头**:确认问题,解释AppScan会话检测可能失败的原因。 2. **原因分析**:详细描述会话标识更新的原因,引用[3]。 3. **解决方案**:提供具体的解决步骤,基于引用[3]的代码示例。 4. **总结**:确保问题解决。 5. **相关问题**:生成几个相关问题。 生成相关问题: - 基于主题,如:AppScan的其他常见问题、会话管理的最佳实践、如何优化AppScan扫描等。 确保中文回答。</think>### AppScan 会话检测失败的原因及解决方案 AppScan 是一款强大的 Web 应用安全测试工具,用于检测会话管理漏洞(如会话固定或会话劫持)[^1]。会话检测失败通常是由于会话标识(Session ID)在用户登录后正确更新导致的,这会让攻击者利用旧会话进行授权访问。以下我将基于引用内容,逐步分析原因并提供解决方案,确保回答真实可靠。 #### 1. **会话检测失败的原因分析** AppScan 在执行会话检测时,会模拟用户登录过程,检查会话 ID 是否在关键操作(如登录)后发生变化。如果会话 ID 更新AppScan 会报告失败,主要原因是: - **会话标识更新**:在用户进入登录页面但尚登录时,系统已生成一个 session。用户登录后,session ID 改变,导致 AppScan 检测到潜在的安全风险(如会话固定漏洞)。这是因为: - `invalidate()` 方法只是清空 session 内容,并销毁 session 对象本身,session ID 保持不变。 - 如果清除相关 cookie,浏览器会继续使用旧的 session ID,AppScan 无法验证会话是否安全更新[^3]。 - 其他可能原因包括:应用配置错误(如 session 超时设置不当)、网络问题或 AppScan 扫描策略不匹配,但核心问题通常是会话管理缺陷[^1]。 引用[^3] 明确指出:“在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变... 只有cookie失效掉,才能换成新的session id”。 #### 2. **解决方案:修复会话标识更新问题** 基于引用[^3] 的推荐方法,您需要在应用代码中强制更新 session ID。以下是具体步骤(以 Java Web 应用为例),确保在登录页面上添加代码: ```java // 在登录处理逻辑中添加以下代码 request.getSession().invalidate(); // 清空当前 session 内容 if (request.getCookies() != null) { Cookie cookie = request.getCookies()[0]; // 获取第一个 cookie(通常是 session cookie) cookie.setMaxAge(0); // 设置 cookie 过期时间,强制浏览器删除 } // 创建新 session,确保 ID 更新 HttpSession newSession = request.getSession(true); // 后续登录逻辑... ``` - **关键步骤解释**: - `invalidate()` 清空 session,但需配合 cookie 过期来完全销毁旧 session。 - `setMaxAge(0)` 使 cookie 立即过期,强制浏览器在下一次请求时使用新 session ID。 - 这能确保 AppScan 检测到登录后 session ID 变化,避免失败报告[^3]。 - **AppScan 端优化**: - 检查扫描配置:在 AppScan 中,启用“智能扫描优化”功能(基于机器学习),动态调整会话测试策略,减少误报[^1]。 - 更新扫描策略:确保覆盖 OWASP Top 10 中的会话管理漏洞(如会话固定),并验证应用是否遵循 PCI-DSS 或 GDPR 等合规标准[^1]。 - 测试验证:重新运行 AppScan 扫描,观察会话检测是否通过。如果问题持续,检查应用日志或 AppScan 错误报告以进一步诊断。 #### 3. **预防措施和最佳实践** - **定期审计**:使用 AppScan 的静态分析(SAST)和交互式分析(IAST)功能,定期扫描应用代码,提前捕获会话管理漏洞[^1]。 - **开发集成**:将 AppScan 集成到 DevOps 流水线(如 Jenkins),实现自动化漏洞检测和修复闭环,减少人为错误[^1]。 - **安全加固**:确保应用在登录时总是生成新 session,并设置 HTTP-only 和 Secure 标志的 cookie,防止 XSS 攻击。 通过以上步骤,您能有效解决 AppScan 会话检测失败的问题。如果涉及特定框架(如 Spring 或 .NET),可调整代码实现类似逻辑。AppScan 的三维检测体系能帮助您全面保障应用安全[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值