用户认证之Session

密码和证书等认证手段，一般仅仅用于登录的过程。当登录成功后，就需要替换一个对用户透明的凭证，就是SessionID。

当用户登录完成后，在服务器端就会创建一个新的会话（Session），会话中保存用户的状态和相关信息。服务器端维护所有在线用户的Session，此时的认证，只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪一个Session，浏览器需要把当前用户持有的SessionID告知服务器。

最常见的做法是把SessionID加密后保存在Cookie中，因为Cookie会随着HTTP请求发送，且受到浏览器同源策略的保护。

 

Session劫持

Session劫持就是一种通过窃取用户SessionID后，使用SessionID登录进目标账户的攻击方法，此时攻击者实际上是使用了目标账户的有效Session。如果SessionID是保存在Cookie中的，则这种攻击可以称为Cookie劫持。

Cookie泄露的途径有很多，最常见的有XSS攻击，网络Sniff，以及本地木马窃取。对于通过XSS漏洞窃取Cookie的攻击，通过给Cookie标记httponly，可以有效地缓解XSS窃取Cookie的问题。但是其他的泄露途径，比如网络嗅探，或者Cookie文件被窃取，则会涉及客户端的环境安全，需要从客户端着手解决。

SessionID除了可以保存在Cookie中外，还可以保存在URL中，作为请求的一个参数。但是这种方式的安全性难以保证。

在手机操作系统中，由于很多手机浏览器暂不支持Cookie，所以只能将SessionID作为URL的一个参数用于认证。安全研究者kxlzx曾经在博客上列出过一些无线WAP中因为sid泄露所导致的安全漏洞，其中一个典型的场景就是通过Referer泄露URL中的sid。  QQ的WAP邮箱曾出现过此漏洞，具体请参考：https://www.inbreak.net/archives/287。

 

Session Fixation攻击

在用户登录网站的过程中，如果登录前后用户的SessionID没有发生变化，则会存在Session Fixation问题。

具体攻击的过程是，用户X(攻击者）先获取到一个未经认证的SessionID，然后将这个SessionID交给用户Y去认证，Y完成认证后，服务器并未更新此SessionID的值，所以X可以直接凭借此SessionID登录Y的账户。

X如何才能让Y使用这个SessionID呢？如果SessionID保存在Cookie中，比较难做到这一点。但若是SessionID保存在URL中，则X只需要诱使Y打开这个URL即可。前面提到sid，就需要认真考虑Session Fixation攻击。

解决Session Fixation的正确做法是，在登录完成后，重写SessionID。

 

Session 保持攻击

一般来说，Session是有生命周期的，当用户长时间未活动后，或者用户点击退出后，服务器将销毁Session。

但如果攻击者能一直持有一个有效的Session（比如间隔性地刷新页面，以告诉服务器这个用户仍然在活动），而服务器对于活动的Session也一直不销毁的话，攻击者就能通过此有效的Session一直使用用户的账户，成为一个永久的“后门”。

有很多应用是利用Cookie的Expire标签来控制Session的失效时间，这就给攻击者可乘之机。Cookie的Expire时间是完全可以由客户端控制的，篡改这个时间，并使之永久有效，就可以获得一个永久有效的Session，而服务器是完全无法察觉的。

如何对抗这个Session保持攻击呢？

常见的做法是在一定时间后，强制销毁Session。这个时间可以是从用户登录的时间算起，设定一个阈值，比如3天后就强制Session过期。还可以选择的方法是当客户端发生变化时，要求用户重新登录，比如用户的IP，UserAgent等信息发生了变化，就可以强制销毁当前的Session，并要求用户重新登录。最后，若每个用户只允许拥有一个Session，则攻击者想要一直保持一个Session也是不太可能的。当用户再次登录时，攻击者所保持的Session将被“踢出”。