Weak Session IDs(弱会话ID)
前言
我自己看了一下这个dvwa的靶场练习,以及一些资料吧。
我觉得现在安全意识的提高,很多基础安全方面建设都提高了,像这种会话ID都有了比较安全的一个固定的模式,比如tomcat
tomcat生成的sessionid叫做jsessionid。
session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间+jvmid;
可以看到生成模式基本都是固定好的,提供接口来调用,不需要程序员来写
我找了下Weak Session IDs的cve发现了CVE-2010-0217,这个主要的安全原因是使用的随机字符串太短存在爆破风险,像dvwa这么弱的漏洞现实中是基本指望不上的
所以这里我觉得更多的是去学习和理解一下sessionid吧
练习
Low
多抓几次包就可以看到dvwaSession每次是递增1的…没什么意思啊
这里我瞎改了一下这个值,也看不到什么影响啊,毫无体验感…
Medium
这里抓包一看dvwaSession变成了一个大数(不能算大数,这种长度爆破都防不了吧),有经验的能立即想到时间戳吧,
转换一下很明显了…
High
这里做实验的时候不知道为什么卡着了,一直用的是上面的dvwaSession值…
直接看源码
可以看到仅仅是在low的基础上使用了MD5进行加密…很显然还是不行的
Impossible
不可能级别使用随机数+时间戳+固定字符串(“Impossible”)进行 sha1 运算,作为 session Id
这里要是知道固定字符串,和随机数位数短,再加上知道sessionid用的sha1算法,我觉得还是可以尝试暴力破解?
总结
感觉做这个的时候确实没什么意思,过于不贴合实际了,再加上体验感几乎为0,所以我也没什么好说的了。
我觉得这种sessionid调用接口来生成基本不会有什么太大的安全隐患吧。
参考
- [DVWA 黑客攻防演练(七)Weak Session IDs](