最近工作要求解決下web的項目的漏洞問題,掃描漏洞是用的AppScan工具,其中此篇文章是關於會話標識未更新問題的。下面就把這塊東西分享出來。
原創文章,轉載請注明
-----------------------------------------正題-------------------------
測試類型:
應用程序級別測試
威脅分類:
會話定置
原因:
Web 應用程序編程或配置不安全
安全性風險:
可能會竊取或操縱客戶會話和cookie,它們可能用於模仿合法用戶,從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執行事務
受影響產品:
該問題可能會影響各種類型的產品。
引用:
“Session Fixation Vulnerability in Web-based Applications”,作者:Mitja Kolsek - Acros Security
PHP Manual, Session Handling Functions, Sessions and security技術描述:
技術描述:
在認證用戶或者以其他方式建立新用戶會話時,如果不使任何現有會話標識失效,攻擊者就有機會竊取已認證的會話。通常在以下情況下會觀察到這樣
的場景:
[1] Web 應用程序在沒有首先廢除現有會話的情況下認證用戶,也就是說,繼續使用已與用戶關聯的會話
[2] 攻擊者能夠強制對用戶使用已知會話標識,這樣一旦用戶進行認證,攻擊者就有權訪問已認證的會話
[3] 應用程序或容器使用可預測的會話標識。
在會話固定漏洞的普通探索過程中,攻擊者在web 應用程序上創建新會話,並記錄關聯的會話標識。然后,攻擊者致使受害者使用該會話標識針對服務
器進行關聯,並可能進行認證,這樣攻擊者就能夠通過活動會話訪問用戶的帳戶。AppScan 發現在登錄過程之前和之后的會話標識未更新,這意味着有
可能發生假冒用戶的情況。遠程攻擊者預先知道了會話標識值,就能夠假冒已登錄的合法用戶的身份。
攻擊流程:
a) 攻擊者使用受害者的瀏覽器來打開易受攻擊的站點的登錄表單。
b) 一旦打開表單,攻擊者就寫下會話標識值,然后等待。
c) 在受害者登錄到易受攻擊的站點時,其會話標識不會更新。
d) 然后攻擊者可利用會話標識值來假冒受害的用戶,並以該用戶的身份操作。
會話標識值可通過利用“跨站點腳本編制”脆弱性(導致受害者的瀏覽器在聯系易受攻擊的站點時使用預定義的會話標識)來獲取,或者通過發起“會話固
定”攻擊(將導致站點向受害者的瀏覽器提供預定義的會話標識)來獲取。