对session会话固定攻击的理解
前提
浏览器端的sessionId和服务器端的session是对应的,在两者都不过期的情况下,他们之间的对应关系是不变的;黑客就是利用这一特性,将自己的sessionId发给系统的信任用户,当信任用户登录系统后,就可以把该sessionId对应的session变成完成认证的状态;这样以来,黑客拿着sessionId访问系统时,系统就把黑客错当成了那个信任用户。
举例
会话固定攻击的流程是这样的,以淘宝为例:
- 攻击者自己可以正常访问淘宝网站,在访问的过程中,淘宝网站生成了一个session,并把sessionId返回给攻击者。
- 攻击者利用自己拿到的 sessionid 构造一个淘宝网站的链接,并把该链接发送给受害者。
- 受害者拿着该链接访问淘宝网站时(该链接中含有 sessionid),由于所携带的sessionId能在后端找到对应的session,所以不会再为该次请求生成新的session,且受害者手里的sessionId一直都是那个老的id。
- 受害者如果继续登录淘宝网站,登录成功后,对应的后端的session就是一个完成认证的会话了。
- 此后攻击者利用手里的 sessionid再访问系统时,系统会认为他就是那个完成登录的合法的用户,从而达到冒充受害者的目的。
实操
1、浏览器不禁用cookie,后端不适用URL重写的情况
攻击者可以把自己浏览器中名字为JSESSIONID的cookie的值,放入受害者的请求头里;该过程比较麻烦
2、浏览器不禁用cookie,后端适用URL重写的情况
该种情况相比于1,多一个受害者将自己浏览器中名字为JSESSIONID的cookie的值,拼接到发给受害者的url的后面;该过程相对麻烦
3、浏览器禁用cookie,后端适用URL重写的情况
受害者将自己URL后面的JSESSIONID,直接拼接到发给受害者的URL的后面;该过程比较简单
问题出现的本质
问题出现的本质就是sessionId一直不变,给了黑客可乘之机;如果受害者在未登录时使用一个sessionId,在登录之后服务端给用户重新生成一个sessionId的话,黑客手里的sessionId就没用了,就能防止会话固定攻击了。(重新生成sessionId时不一定是重新生成了session,即可以是新session,也可以是老session,取决与技术手段)
待我称王封你为后i
柔情只为你懂
分手后的思念是犯贱
Myth丶恋晨
还没有评论,来说两句吧...