会话固定攻击 - xpenxpen - ITeye博客

`

xpenxpen

浏览: 703489 次
性别:
来自: 上海

最近访客更多访客>>

ascii_he

xiaoxiaocn

XiaoPY

qq234766237

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

lijunwyf： cevin15 写道可以看下这个开源软件，https://gi ...
用markdown2html把md转换成html
cevin15：可以看下这个开源软件，https://github.com/c ...
用markdown2html把md转换成html
Raina：运行不了呢……提示错误无法加载主类Baiduwallpaper ...
用Java更换Windows桌面壁纸
苏城细雨沐秋风：我把解码的jar添加到类路径后，mp3可以播放，但是flac和 ...
java播放mp3/ogg/ape/flac音乐
peishuai1987：请问楼主现在怎么样了，读了很多源码吗，比如mybatis、sp ...
mybatis源码阅读心得

会话固定攻击

博客分类：

安全

阅读更多

Session fixation attack(会话固定攻击)是利用服务器的session不变机制，借他人之手获得认证和授权，然后冒充他人。

1.Mallory先打开一个网站http://unsafe，然后服务器会回复他一个session id。比如SID=mjg4qid0wioq。Mallory把这个id记下了。
2.Mallory给Alice发送一个电子邮件，他假装是银行在宣传自己的新业务，例如，我行推出了一项新服务，率先体验请点击：http://unsafe/?SID=mjg4qid0wioq，SID后面是Mallory自己的session id。
3.Alice被吸引了，点击了 http://unsafe/?SID=mjg4qid0wioq，像往常一样，输入了自己的帐号和口令从而登录到银行网站。
4.因为服务器的session id不改变，现在Mallory点击 http://unsafe/?SID=mjg4qid0wioq 后，他就拥有了Alice的身份。可以为所欲为了。

所以以后看到发来的地址带有一串id的比如
SID=mjg4qid0wioq
jsessionid=mjg4qid0wioq
的，就要长个心眼了，以防是别有用心之人盗取你的账号。

解决方案，可以是在用户登录成功后重新创建一个session id,而不是用原来的那个id。在spring security中，默认就带了这个方案，有session-fixation-protection。
如果想搞个不安全的服务自己玩玩，可以修改session-fixation-protection为"none"

<http auto-config='true' session-fixation-protection="none">
    <intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />
    <intercept-url pattern="/**" access="ROLE_USER" />
</http>

如此你就可以重现文章一开始提到的场景了。

分享到：

使用Axis2,spring开发jax-ws的配置 | 几种监控SOAP消息的方法

2012-08-27 15:40
浏览 11186
评论(1)
分类:企业架构
查看更多

评论

1 楼 jin617898471 2015-06-23

很生动形象

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

测试会话固定攻击.docx: 测试会话固定攻击

最详细Spring Security学习资料（源码）: 攻击防护：Spring Security内置了对常见攻击（如跨站点请求伪造、会话固定攻击、点击劫持等）的防护机制，帮助开发者提高应用程序的安全性。会话管理：Spring Security支持对用户会话状态的管理，包括会话超时、...

TelegramSessionFixation-:电报桌面中的会话修复错误: ＃什么是会话固定在计算机网络安全中，会话固定攻击试图利用系统的漏洞，该漏洞允许一个人固定（设置）另一个人的会话标识符（SID）。大多数会话固定攻击都是基于Web的，并且大多数依赖从URL（查询字符串）或POST...

ASP.NET如何使用web服务的会话状态: 在web服务中要用到ASP.NET中的会话对象，有2件事情需要做。　1.WebService 类需要继承System.Web.Services.WebService类　2.WebMethod中的EnableSession属性值应该设置为true 　来看我们CalculatorWebService类，...

Spring-Security:安全攻击对策: 会话管理功能：保护用户免受会话劫持或会话固定攻击控制会话的生命周期（创建，破坏，超时）。 CSRF预防功能：保护用户免受跨站请求伪造（CSRF）攻击。具有浏览器安全功能的链接功能：在攻击中滥用了与浏览器安全...

cookie-swap:该库有助于在 connectexpress 会话之外的 node.js 中管理客户端会话 cookie。需要为快速会话维护一个 htttpOnly cookie（通过 XSS 抢夺 cookie 来验证用户并防止重放攻击），同时在客户端可访问和修改的 cookie 中存储一些会话状态: 最好为快速会话维护一个 htttpOnly cookie（以验证用户并通过 XSS 抢夺 cookie 来防止重放攻击），同时在客户端可访问和修改的 cookie 中存储一些会话状态。客户端会话在req.clientSession ，类似于 connect/...

spring security 参考手册中文版: 会话固定攻击保护 59 6.3.4 OpenID支持 60 属性交换 61 6.3.5响应头 62 6.3.6添加你自己的过滤器 62 设置一个自定义的AuthenticationEntryPoint 64 6.4方法安全 64 6.4.1 元素 65 使用protect-pointcut添加安全性...

encryptedSession-PHP:增加对流行攻击的预防，如会话劫持或会话固定。使用算法 MCRYPT_RIJNDAEL_256 通过 mcrypt 加密数据: 增加对流行攻击的预防，如会话劫持或会话固定。数据通过 mcrypt 使用算法 MCRYPT_RIJNDAEL_256 进行加密。用法将 lib/_session.php 包含到您的项目中使用以下代码启动会话 $ session = new encryptedSession( $ ...

011-Web安全基础7 - 会话管理漏洞.pptx: 会话劫持（Session hijacking），这是一种通过获取用户Session ID后，使用该Session ID登录目标账号的攻击方法，此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成...

PHP漏洞全解: 8、Session固定攻击(SessionFixation) 9、HTTP响应拆分攻击(HTTPResponseSplitting) 10、文件上传漏洞(FileUploadAttack) 11、目录穿越漏洞(DirectoryTraversal) 12、远程文件包含攻击(RemoteInclusion) 13、动态...

PHP安全基础1-8章: 4.3. 会话固定 4.4. 会话劫持第五章包含 5.1. 源码暴露 5.2. 后门URL 5.3. 文件名操纵 5.4. 代码注入第六章文件与命令 6.1. 文件系统跨越 6.2. 远程文件风险 6.3. 命令注入第七章验证与授权 7.1. 暴力攻击 7.2...

经典的PHP网站安全防御文章: 8、Session 固定攻击(Session Fixation) 9、HTTP响应拆分攻击(HTTP Response Splitting) 10、文件上传漏洞(File Upload Attack) 11、目录穿越漏洞(Directory Traversal) 12、远程文件包含攻击(Remote Inclusion)...

PHP漏洞全解1-9: 1、命令注入(Command Injection) 2、eval 注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL 注入攻击(SQL injection) ...8、Session 固定攻击(Session

php漏洞大全: 　8.Session 固定攻击(Session Fixation) 　9.HTTP响应拆分攻击(HTTP Response Splitting) 　10.文件上传漏洞(File Upload Attack) 　11.目录穿越漏洞(Directory Traversal) 　12.远程文件包含攻击(Remote Inclusion...

安全网站：具有注册，登录，会话管理和CRUD控制的安全网站: 会话固定， SQL注入跨站脚本（XSS），跨站请求伪造（CSRF），等等。已在XAMPP for Windows v7.4.3（64位），Chrome v80.0.3987.149（64位）和Firefox v74.0（64位）上进行测试。出于教育目的。希望对您...

infosec-interview-questions::spiral_notepad:[正在进行中的]集合，用于信息安全角色的面试问题: 信息安全面试题信息安全角色的面试问题... 攻击者可以将cookie设置为攻击者已知的值（会话固定）攻击者可以重定向到恶意服务器描述您编写的最后一个程序或脚本。它解决了什么问题？只寻找候选人对编程概念有基本

AdHoc.rar_Elliptic curve_ad hoc_adhoc加密_ecc_密钥: Ad Hoc网是一种不依赖于任何固定基础设施、没有中心控制节点、计算资源受限的新型无线移动网络.基于ECC(elliptic curves cryptography),提出了一个新的适用于Ad Hoc网的具有口令认证和共享口令进化的多方密钥协商...

WEB安全测试: 8.6 测试会话固定 175 8.7 发送恶意Cookie值 177 8.8 上传恶意文件内容 179 8.9 上传带有恶意名称的文件 181 8.10 上传病毒到应用 182 8.11 使用Perl解析接收到的值 184 8.12 以编程方式来编辑页面 186 8.13 使用...

shield:Lucky框架的全面安全性: 默认情况下， Shield是安全的，并采用深度防御策略，包括将身份验证会话固定到启动它的IP地址的选项-如果IP地址更改，则该会话无效。用户ID永远不会保存在会话中。取而代之的是，每个身份验证都获得一个唯一的ID...

Global site tag (gtag.js) - Google Analytics