会话固定
概念
会话固定(Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。
原理
- 访问网站时,网站会设置cookie中的session
- 当用户等候后,cookie中的session保持不变
- 只要获取登陆前的session内容,就可以知道登陆后的session
漏洞存在检测
访问网站(未登录):获取cookie信息,获取sessionid
登录网站:查看cookie信息,获取sessionid
查看登录前,登录后sessionid是否相同
漏洞防御
在用户登录成功后重新创建一个session id
登录前的匿名会话强制失效
session id与浏览器绑定:session id与所访问浏览器有变化,立即重置
session id与所访问的IP绑定:session id与所访问IP有变化,立即重置
