小记:web安全测试之——固定session漏洞
Posted v小周与海神
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了小记:web安全测试之——固定session漏洞相关的知识,希望对你有一定的参考价值。
今天因为项目背景需要,需要检测web接口是否一些安全隐患。
无奈于从未掌握有系统的渗透性知识,只好根据个人对网络协议和 web 的理解,做一些探索,最终发现了一个session fixation attacks漏洞。
场景回顾:
使用抓包工具监听业务的登录登出接口,发现登录后的 JSESSIONID 为 A,登出后的 JSESSIONID 仍然为A;
但是由于后台开发使用了Apache 的 Shiro 组件,其会在每次重新登录后,分配新的SessionID;
所以,基于对 cookie 的理解,这个地方极有可能是有问题的。
Cookie 真正的内容却始终是没有变化的,相当于就是将用户的账户信息完全记录了下来
于是乎,当用户登录后,通过抓包工具将截取的头消息等内容进行重放-进行任意业务请求
就会出现致命的漏洞
漏洞本质即:
JSESSIONID 在登录前后不产生变化,使用了固定 cookie。原理参考
https://www.owasp.org/index.php/Session_fixation
实现可参考
https://blog.csdn.net/zxae86/article/details/50380997
以上是关于小记:web安全测试之——固定session漏洞的主要内容,如果未能解决你的问题,请参考以下文章