Session固定攻击

最新推荐文章于 2024-04-10 06:10:34 发布
最新推荐文章于 2024-04-10 06:10:34 发布
阅读量253 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/616147/blog/1793832
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

攻击者预先设定session id,让合法用户使用这个session id来访问被攻击的应用程序,一旦用户的会话ID被成功固定,攻击者就可以通过此session id来冒充用户访问应用程序。

举例

防范方法

  • 定期更改session id
session_regenerate_id(TRUE);    //删除旧的session文件,每次都会产生一个新的session id。默认false,保留旧的session
  • 更改session的名称
    • session的默认名称是PHPSESSID,此变量会保存在cookie中, 如果攻击者不抓包分析,就不能猜到这个名称,阻挡部分攻击
session_name("mysessionid");
  • 关闭透明化session id
    • 透明化session id指当浏览器中的 http请求 没有使用cookie来制定session id时,sessioin id使用链接来传递
int_set("session.use_trans_sid", 0);
  • 只从cookie检查session id
int_set("session.use_cookies", 1);  //表示使用cookies存放session id
int_set("session.use_only_cookies", 1); //表示只使用cookies存放session id
  • 使用URL传递隐藏参数
$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;    //  攻击者虽然能获取session数据,
                            //  但是无法得知$sid的值,只要检查sid的值,
                            //  就可以确认当前页面是否是web程序自己调用的

转载于:https://my.oschina.net/u/616147/blog/1793832

Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 3051
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
Session攻击
凉茶铺的博客
07-27 1327
形象地说,假设系统是一间屋子,持有钥匙的人可以开门进入屋子,那么屋子就是通过“锁和钥匙的匹配”来进行认证的,认证的过程就是开锁的过程。因此,当认证成功后,就需要替换一个对用户透明的凭证。如果进来的是屋子的主人,那么他可以坐在沙发上看电视,也可以进到卧室睡觉,可以做任何他想做的事情,因为他具有屋子的“最高权限”。会话固定也可以看成是会话劫持的一种类型,原因是会话固定攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。...
session攻击
weixin_53386866的博客
02-28 1265
Session攻击 一、 关于session攻击 1.主要攻击方式 首先通过捕获或者固定合法用户的session。然后冒充该用户来访问系统 2、三种方式来获取一个有效的session标识符 预测 捕获(劫持) 固定 二、认证凭证预测 1.原理 ●预测需要攻击者清测出系统中使用的有效的session标识符,类似暴力破解 2.目前session安全 ●php生成随机的session id极其复杂,并且难于被预测出来 ●php生成session字符串无任何规律和顺序 三、会话劫持 1.含义 ●会话劫持 (essi
Session Fixation session固定攻击
Author_CHEN的博客
09-15 1056
Session Fixation session固定攻击 参考 https://en.wikipedia.org/wiki/Session_fixation Session Fixation session固定攻击 一、常见攻击场景 1. 场景1 简单的攻击场景 2. 场景2 使用服务器生成的sessionID 3. 场景3 使用跨子域cookie攻击 二、常见防御手段 1. 不从 GET/POST 的变量中接受session的id 2. 每次登录都更改sessionID 3. 每次请求都生
会话固定攻击(session fixation attack)及解决办法
半夏_2021的博客
04-29 1万+
会话固定攻击(session fixation attack)及解决办法
会话(Session固定
:)每天进步一点点
09-29 6235
会话(Session)固定   会话安全是一个复杂的话题,会话经常是攻击的目标也没有什么奇怪的。多数会话攻击都是通过攻击者模拟另外一个用户发送数据实现的。   对于攻击者决定性的信息是会话标识,任何伪装的攻击都需要这个。有三个方法获得合法的会话标识:   预测   劫持   固定   预测依赖猜测合法的会话标识。根据 PHP 的会话原理,会话标识是相当随机的,这不大可能是薄弱环节。
Web应用Session固定攻击与防御:全面防护指南
Session固定攻击是一种危害Web安全的常见攻击方式,它利用Session机制的弱点,通过固定会话标识来劫持用户的会话。本文首先概述了Session固定攻击的基本概念,随后深入探讨了其理论基础,包括Session的工作原理以及...
修复shiro固定会话攻击漏洞 sessionId
康康的博客
11-05 752
@PostMapping("/login") @ResponseBody public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { System.out.println("username = " + username); UsernamePasswordToken token = new UsernamePasswordToken(user.
Session攻击手段(会话劫持/固定)及其安全防御措施
热门推荐
马学朝的博客
01-19 3万+
一、       概述        对于Web应用程序来说,加强安全性的第一条原则就是——不要信任来自客户端的数据,一定要进行数据验证以及过滤才能在程序中使用,进而保存到数据层。然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持
Session会话固定测试
酷狗直播-锦凡歆的博客
05-20 681
Session会话固定测试 Session 是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时, 应将客户端Session认证属性标识清空。如果未能清空客户端Session标识,在下次登录系 统时,系统会重复利用该Session标识进行认证会话。攻击者可利用该漏洞生成固定 Session会话,并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话 认证被窃取 ...
Spring Security session固定策略
dhdhdh0920的专栏
09-21 741
session固定是指服务器在给客户端创建session后,在该session过期之前,它们都将通过该session进行通信。 我们可以在Security配置文件中,通过session-management的session-fixation-protection属性来改变其策略,有三种策略可供选择: migrateSession:这是默认值。其表示在用户登录后将新建一个session,同时将原session中的attribute都copy到新的session中; none:表示继续使用原.
Session攻击(会话劫持+固定)与防御
zhangge3663的博客
10-30 2032
1、简介 Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是-不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能再程序中使用,进而保存到数据层。然而,为了维持来自同一个用户的不同请求之间的状态,客户端必须要给服务器端发送一个唯一的身份标识符(Session ID)。很显然,这和前面提到的安全原则是矛盾的,但是没有办法,ht...
Web安全-会话ID漏洞
道阻且长,行则将至
07-07 4059
概述 以下摘自《白帽子讲 web 安全》 密码与证书等认证手段,一般仅仅用于登录(Login)的过程。当登陆完成后,用户访问网站的页面,不可能每次浏览器请求页面时,都再使用密码认证一次。因此,当认证完成后,就需要替换一个对用户透明的凭证。这个凭证就是SessionID。 当用户登陆完成后,在服务器端就会创建一个新的会话(Session),会话中会保存用户的状态和相关信息。服务器端维护所有在线用户的...
什么是会话固定攻击?Spring Boot 中要如何防御会话固定攻击
2401_84104460的博客
04-10 1215
既已说到spring cloud alibaba,那对于整个微服务架构,如果想要进一步地向上提升自己,到底应该掌握哪些核心技能呢?就个人而言,对于整个微服务架构,像RPC、Dubbo、Spring Boot、Spring Cloud Alibaba、Docker、kubernetes、Spring Cloud Netflix、Service Mesh等这些都是最最核心的知识,架构师必经之路!下图,是自绘的微服务架构路线体系大纲,如果有还不知道自己该掌握些啥技术的朋友,可根据小编手绘的大纲进行一个参考。
session会话固定攻击的理解
ITWANGBOIT的博客
10-27 2944
前提 浏览器端的sessionId和服务器端的session是对应的,在两者都不过期的情况下,他们之间的对应关系是不变的;黑客就是利用这一特性,将自己的sessionId发给系统的信任用户,当信任用户登录系统后,就可以把该sessionId对应的session变成完成认证的状态;这样以来,系统就把黑客当成了那个信任用户了。 举例 会话固定攻击的流程是这样的,以淘宝为例: 攻击者自己可以正常访问淘宝网站,在访问的过程中,淘宝网站生成了一个session,并把sessionId返回给攻击者。 攻击者利
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4721
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
Web 攻防之业务安全:Session会话固定测试.
网络安全领域___专研者.
04-08 1046
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。
会话固定攻击
最新发布
03-26
### 会话固定攻击的概念 会话固定攻击session fixation attack)是一种安全漏洞,攻击者通过设置用户的会话 ID 并诱导用户使用此固定的会话 ID 登录系统来实施攻击[^2]。一旦用户登录成功,攻击者可以利用这个已知的会话 ID 来冒充合法用户,从而获得未经授权的访问权限。 这种攻击的核心在于应用程序未能在用户身份验证前后更改会话标识符,使得攻击者能够轻松劫持受害者的会话[^1]。 --- ### 防御方法 #### 方法一:修改 Session ID 为了防止会话固定攻击,在用户完成身份验证后应立即生成一个新的会话 ID,并将其替换原有的会话 ID。这样即使攻击者事先设置了某个特定的会话 ID,也无法继续使用它来冒充受害者。 以下是基于 Spring Security 的实现方式: ```java @Override protected void onSuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, Authentication authentication) { HttpSession session = request.getSession(false); if (session != null) { String originalId = session.getId(); session.invalidate(); // 销毁旧的会话 session = request.getSession(true); // 创建新的会话 log.info("Session Id changed from {} to {}", originalId, session.getId()); } } ``` 上述代码片段展示了如何在用户成功登录后销毁当前会话并创建新会话的过程[^3]。 #### 方法二:启用框架内置防护功能 现代 Web 安全框架通常已经提供了针对会话固定攻击的默认保护措施。例如,在 Spring Security 中,默认情况下启用了会话固定攻击防护机制。开发者可以通过配置 `session-management` 属性进一步调整行为。 以下是一个典型的 XML 配置示例: ```xml <http> <session-management session-fixation-protection="migrateSession"/> </http> ``` 在此配置中,`migrateSession` 表示当检测到潜在的会话固定风险时,自动迁移现有会话至新会话 ID 而不丢失任何数据。 #### 方法三:加强 Cookie 设置 除了更换会话 ID 外,还可以增强 HTTP 响应头中的 Set-Cookie 参数安全性。建议采用以下最佳实践: - **HttpOnly**: 禁止 JavaScript 访问 cookie 数据。 - **Secure Flag**: 确保仅允许 HTTPS 协议传输 cookies。 - **SameSite Attribute**: 减少跨站点请求伪造的风险。 这些额外的安全措施有助于降低因不当处理 cookies 所带来的其他威胁。 --- ### 总结 综上所述,防范会话固定攻击的关键在于确保每次用户经过身份验证之后都会分配全新的唯一标识符作为其活动期间使用的凭证;同时结合主流开发工具包自带的功能模块简化实际操作过程中的复杂度提升效率减少人为失误几率。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值