码迷,mamicode.com
首页 > 其他好文 > 详细

会话标识未更新

时间:2016-06-12 10:40:24      阅读:144      评论:0      收藏:0      [点我收藏+]

标签:

会话标识未更新

可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,
从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

 

可能原因
Web 应用程序编程或配置不安全
技术描述

在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会
窃取已认证的会话。通常在以下情况下会观察到这样的场景:

[1] Web 应用程序在没有首先废除现有会话的情况下认证用户,也就是说,继续使用已与用户关联的会话

[2] 攻击者能够强制对用户使用已知会话标识,这样一旦用户进行认证,攻击者就有权访问已认证的会话

[3] 应用程序或容器使用可预测的会话标识。

在会话固定漏洞的普通探索过程中,攻击者在 web 应用程序上创建新会话,并记录关联的会话标识。
然后,攻击者致使受害者使用该会话标识针对服务器进行关联,并可能进行认证,这样攻击者就能够
通过活动会话访问用户的帐户。AppScan 发现在登录过程之前和之后的会话标识未更新,这意味着
有可能发生假冒用户的情况。远程攻击者预先知道了会话标识值,就能够假冒已登录的合法用户的身份。


攻击流程:

a) 攻击者使用受害者的浏览器来打开易受攻击的站点的登录表单。

b) 一旦打开表单,攻击者就写下会话标识值,然后等待。

c) 在受害者登录到易受攻击的站点时,其会话标识不会更新。

d) 然后攻击者可利用会话标识值来假冒受害的用户,并以该用户的身份操作。

会话标识值可通过利用“跨站点脚本编制”脆弱性(导致受害者的浏览器在联系易受攻击的站点时
使用预定义的会话标识)来获取,或者通过发起“会话固定”攻击(将导致站点向受害者的浏览器提供预定义的会话标识)来获取。

会话标识未更新

标签:

原文地址:http://www.cnblogs.com/tdcqma/p/5576663.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!