对session会话固定攻击的理解

阳光穿透心脏的1/2处 2022-12-18 15:58 88阅读 0赞

## 前提 ##

浏览器端的sessionId和服务器端的session是对应的，在两者都不过期的情况下，他们之间的对应关系是不变的；黑客就是利用这一特性，将自己的sessionId发给系统的信任用户，当信任用户登录系统后，就可以把该sessionId对应的session变成完成认证的状态；这样以来，黑客拿着sessionId访问系统时，系统就把黑客错当成了那个信任用户。

## 举例 ##

会话固定攻击的流程是这样的，以淘宝为例：

1.  攻击者自己可以正常访问淘宝网站，在访问的过程中，淘宝网站生成了一个session，并把sessionId返回给攻击者。
2.  攻击者利用自己拿到的 sessionid 构造一个淘宝网站的链接，并把该链接发送给受害者。
3.  受害者拿着该链接访问淘宝网站时（该链接中含有 sessionid），由于所携带的sessionId能在后端找到对应的session，所以不会再为该次请求生成新的session，且受害者手里的sessionId一直都是那个老的id。
4.  受害者如果继续登录淘宝网站，登录成功后，对应的后端的session就是一个完成认证的会话了。
5.  此后攻击者利用手里的 sessionid再访问系统时，系统会认为他就是那个完成登录的合法的用户，从而达到冒充受害者的目的。

## 实操 ##

1、浏览器不禁用cookie，后端不适用URL重写的情况

攻击者可以把自己浏览器中名字为JSESSIONID的cookie的值，放入受害者的请求头里；该过程比较麻烦

2、浏览器不禁用cookie，后端适用URL重写的情况

该种情况相比于1，多一个受害者将自己浏览器中名字为JSESSIONID的cookie的值，拼接到发给受害者的url的后面；该过程相对麻烦

3、浏览器禁用cookie，后端适用URL重写的情况

受害者将自己URL后面的JSESSIONID，直接拼接到发给受害者的URL的后面；该过程比较简单

## 问题出现的本质 ##

问题出现的本质就是sessionId一直不变，给了黑客可乘之机；如果受害者在未登录时使用一个sessionId，在登录之后服务端给用户重新生成一个sessionId的话，黑客手里的sessionId就没用了，就能防止会话固定攻击了。（重新生成sessionId时不一定是重新生成了session，即可以是新session，也可以是老session，取决与技术手段）