`
xpenxpen
  • 浏览: 725190 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

会话固定攻击

 
阅读更多
    Session fixation attack(会话固定攻击)是利用服务器的session不变机制,借他人之手获得认证和授权,然后冒充他人。

1.Mallory先打开一个网站http://unsafe,然后服务器会回复他一个session id。比如SID=mjg4qid0wioq。Mallory把这个id记下了。
2.Mallory给Alice发送一个电子邮件,他假装是银行在宣传自己的新业务,例如,我行推出了一项新服务,率先体验请点击:http://unsafe/?SID=mjg4qid0wioq,SID后面是Mallory自己的session id。
3.Alice被吸引了,点击了 http://unsafe/?SID=mjg4qid0wioq,像往常一样,输入了自己的帐号和口令从而登录到银行网站。
4.因为服务器的session id不改变,现在Mallory点击 http://unsafe/?SID=mjg4qid0wioq 后,他就拥有了Alice的身份。可以为所欲为了。

所以以后看到发来的地址带有一串id的比如
SID=mjg4qid0wioq
jsessionid=mjg4qid0wioq
的,就要长个心眼了,以防是别有用心之人盗取你的账号。

解决方案,可以是在用户登录成功后重新创建一个session id,而不是用原来的那个id。在spring security中,默认就带了这个方案,有session-fixation-protection。
如果想搞个不安全的服务自己玩玩,可以修改session-fixation-protection为"none" 

<http auto-config='true' session-fixation-protection="none">
    <intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />
    <intercept-url pattern="/**" access="ROLE_USER" />
</http>


如此你就可以重现文章一开始提到的场景了。

分享到:
| 几种监控SOAP消息的方法
评论
1 楼 jin617898471 2015-06-23  
很生动形象
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    测试会话固定攻击.docx

    测试会话固定攻击

    Session Fixation Test:安全会话固定测试-开源

    **会话固定攻击(Session Fixation)** 会话固定攻击是一种网络安全性问题,攻击者通过在用户登录前预先设定一个已知的会话ID(Session ID),然后在用户登录后继续使用这个固定的会话ID,从而能够控制或劫持用户的...

    spring security 3.x session-management 会话管理失效

    - 会话固定攻击是一种常见的安全威胁,攻击者通过获取用户的会话ID来冒充用户。Spring Security 3.x 提供了两种防护策略:会话重置和会话迁移。 - **会话重置**:当用户成功登录后,系统创建一个新的会话ID并替换...

    JSP基于servlet的登录注册会话实验

    8. **会话超时**:为了防止会话固定攻击,Web应用通常会设置会话超时,超时后自动注销用户。开发者可以通过HttpSession的setMaxInactiveInterval方法设置超时时间。 通过这个实验,学习者将能掌握基本的Servlet和...

    JavaWeb实验 3 会话基础实验

    同时,定期更换会话ID也是防止会话固定攻击的有效策略。 8. **会话绑定和解绑事件**:可以注册监听器监听会话的创建、销毁、属性添加、修改和移除等事件,以便进行相应的处理。 通过本次实验,学生应能熟练掌握...

    会话及其会话技术.doc

    Java Web 开发中,会话(Session)与Cookie是两种重要的技术,用于在...在实际开发中,还需要考虑如何有效地管理会话,例如设置合理的过期时间,处理会话劫持和会话固定攻击等问题,以确保应用程序的安全性和性能。

    第12章 会话控制

    2. **防止会话固定攻击**: 黑客迫使受害者在特定会话中进行敏感操作。通过随机生成会话ID和检查用户登录后的第一个请求是否包含会话ID,可以防范此类攻击。 3. **跨站请求伪造(CSRF)防御**: 使用CSRF Token,确保...

    App远程登录与会话维持的实现.pdf

    同时,服务端还需要处理会话超时和安全问题,比如定期刷新Token,防止会话固定攻击(Session Fixation)和跨站请求伪造(CSRF)。 5. **安全性考虑** 为了进一步提升安全性,App可以使用HTTPS协议进行通信,保证...

    试会话终止.docx

    测试会话超时是为了防止会话固定攻击(Session Fixation)和会话劫持(Session Hijacking)。通过获取一个有效的令牌,不使用它并在一段时间后尝试使用该令牌访问受保护资源,如果服务器仍允许访问,说明会话超时...

    分布式会话demo.zip

    9. **安全性**:分布式会话管理也需考虑安全性问题,比如防止会话劫持、会话固定攻击等,可以通过设置合理的会话超时、使用安全的通信协议以及定期刷新令牌等方式增强安全性。 通过"分布式会话demo"的学习,开发者...

    Java Web应用中用户认证与授权的实现策略

    安全的会话管理:使用安全的Cookie、URL重写等技术来防止会话劫持和会话固定攻击。 密码安全性:使用哈希加盐的密码存储方案,确保用户密码的安全性。 防止跨站请求伪造(CSRF):实施CSRF令牌机制,验证请求的来源...

    网络游戏-实现有状态网络应用的会话返回.zip

    会话管理中要防止会话劫持和会话固定攻击,定期刷新会话ID,确保玩家账户的安全。同时,需要对网络通信进行加密,如使用SSL/TLS协议,以防止数据在传输过程中被窃取。 综上所述,实现有状态网络应用的会话返回是一...

    Shieldon一个PHP库用于为Web程序提供反爬和在线会话控制功能

    4. **会话固定攻击防护**:检测并防止会话 ID 被固定,避免会话劫持。 5. **会话数据加密**:对存储在服务器上的会话数据进行加密,增加数据安全性。 在实际使用 Shieldon 时,开发者可以通过简单的 API 调用来...

    网络游戏-用于网络应用上的多个管理服务器的统一会话控制方法和系统.zip

    7. **安全性和隐私保护**:会话控制必须考虑到网络安全问题,包括防止会话劫持、会话固定攻击等。加密技术和安全协议(如HTTPS)的应用有助于保护用户信息的安全。 8. **性能优化**:优化通信延迟,减少不必要的...

    最详细Spring Security学习资料(源码)

    攻击防护:Spring Security内置了对常见攻击(如跨站点请求伪造、会话固定攻击、点击劫持等)的防护机制,帮助开发者提高应用程序的安全性。 会话管理:Spring Security支持对用户会话状态的管理,包括会话超时、...

    基于PHP的修补跨站脚本攻击漏洞 php版.zip

    5. **会话管理**:正确管理用户会话,如使用安全的会话ID,定期更新,防止会话固定攻击。 6. **应用防火墙**:部署Web应用防火墙(WAF)来检测和阻止潜在的XSS攻击。 7. **代码审计**:定期进行代码审查,查找可能...

    开发高安全级别的企业应用系列课程(3):编写安全代码-抵御攻击

    正确管理会话可以防止会话劫持和会话固定攻击。开发者应使用安全的会话标识符,定期刷新会话,以及在用户登出或会话超时时销毁会话。 密码存储和身份验证是另一个重要的话题。安全的做法是使用强密码策略,如最小...

    Web应用安全:CookieMonsterBug.pptx

    会话固定攻击是一种网络攻击方式,攻击者通过操纵Cookie的值,使得受害者在下次访问网站时直接加载了攻击者设定的状态,可能导致账户权限被滥用。因此,识别并修复Cookie Monster Bug对于保障Web应用安全至关重要,...

    图度上传接口数据传递以及会话验证说明

    - 设置合适的Session过期时间,防止会话固定攻击(Session Fixation)。 - 不要在URL中传递Session ID,以免被第三方截获。 - 定期清理不再使用的Session文件,避免资源浪费。 总结来说,PHP Session提供了一种安全...

Magicbox
Global site tag (gtag.js) - Google Analytics