Web 攻防之业务安全:Session会话固定测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。
目录:
第二步:使用Burp Suite 工具对本次退出系统的请求数据进行拦截,对本次授权的 Session ID 值进行记录备份.
第四步:使用Burp Suite 工具对本次登录系统的请求数据进行拦截,并将本次登录与上次登录授权的Session ID 值进行比较,判断是否相同。
免责声明:
严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。
Session会话固定测试:
测试原理和方法:
Session 是应用系统对浏览器客户端身份验证的属性标识,在用户退出应用系统时,应将客户端Session 认证属性标识清空。如果未能清空客户端 Session 标识,在下次登录系统时,系统会重复利用该 Session 标识进行认证会话。如果攻击者可以利用该漏洞产生固定的 Session 会话,并诱骗用户利用攻击者产生的固定会话进行系统登录,从而导致用户会话认证被盗取。
测试过程:
在注销退出系统时,对当前浏览器授权 Session ID 值进行记录。再次登录系统,将本次授 Session ID 值与以上次进行比对校验,判断服务器是否使用与上次相同的 Session ID 值进行授权认证,若使用相同的 Session ID 值 则存在固定会话风险.
第一步:在已登录授权验证的页面,点击退出系统.
第二步:使用Burp Suite 工具对本次退出系统的请求数据进行拦截,对本次授权的 Session ID 值进行记录备份.
第三步:退出系统后,再次重新登录系统.
第四步:使用Burp Suite 工具对本次登录系统的请求数据进行拦截,并将本次登录与上次登录授权的Session ID 值进行比较,判断是否相同。
修复建议:
在客户端登录系统时,应首先判断客户端是否提交浏览器的留存 Session 认证会话属性标识。客户端提交此信息至服务器时,应及时销毁浏览器留存的 Session 认证会话。并要求客户端浏览器重新生成 Session 认证会话属性标识.
学习的书籍:Web 攻防之业务安全实战指南.