Web 攻防之业务安全:Session会话注销测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。
目录:
第一步:在登录授权的系统页面时使用 Burp Suite 工具进行请求数据拦截,然后备份Session 认证的参数记录.
第二步:在Burp Suite 工具中数据拦截窗口中使用鼠标点击右键,然后会弹出菜单则选择Repeater 将请求的数据发送到 Repeater 模块中.
第四步:返回 Burp Suite 工具中的 Repeater 模块中再次利用原来的Session认证值进行访问,然后点击 GO 按钮,并查看系统是否对退出后的用户授权进行解除授权.
免责声明:
严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。
Session会话注销测试:
测试原理和方法:
Session 是应用系统对浏览器客户端身份验证的属性标识,在用户注销或退出应用系统时,系统应将客户端 Session 认证属性标识清空。如果未能清空 Session 认证会话,该认证会话将持续有效,此时攻击者获取该 Session 认证会话会导致用户权限被盗取。
测试过程:
该项测试主要在用户注销退出系统授权后,判断授权 Session ID 值认证是否依然有效,若授权认证 Session ID 值依然有效则存在风险。
第一步:在登录授权的系统页面时使用 Burp Suite 工具进行请求数据拦截,然后备份Session 认证的参数记录.
第二步:在Burp Suite 工具中数据拦截窗口中使用鼠标点击右键,然后会弹出菜单则选择Repeater 将请求的数据发送到 Repeater 模块中.
第三步:然后退出已经登陆系统.
第四步:返回 Burp Suite 工具中的 Repeater 模块中再次利用原来的Session认证值进行访问,然后点击 GO 按钮,并查看系统是否对退出后的用户授权进行解除授权.
修复建议:
在用户注销或退出应用系统时,服务器应及时销毁 Session 认证会话信息并清除客户端浏览器 Session 属性标识.
学习的书籍:Web 攻防之业务安全实战指南.