會話標識未更新
可能會竊取或操縱客戶會話和 cookie,它們可能用於模仿合法用戶,
從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執行事務
可能原因
Web 應用程序編程或配置不安全
技術描述
在認證用戶或者以其他方式建立新用戶會話時,如果不使任何現有會話標識失效,攻擊者就有機會
竊取已認證的會話。通常在以下情況下會觀察到這樣的場景:
[1] Web 應用程序在沒有首先廢除現有會話的情況下認證用戶,也就是說,繼續使用已與用戶關聯的會話
[2] 攻擊者能夠強制對用戶使用已知會話標識,這樣一旦用戶進行認證,攻擊者就有權訪問已認證的會話
[3] 應用程序或容器使用可預測的會話標識。
在會話固定漏洞的普通探索過程中,攻擊者在 web 應用程序上創建新會話,並記錄關聯的會話標識。
然后,攻擊者致使受害者使用該會話標識針對服務器進行關聯,並可能進行認證,這樣攻擊者就能夠
通過活動會話訪問用戶的帳戶。AppScan 發現在登錄過程之前和之后的會話標識未更新,這意味着
有可能發生假冒用戶的情況。遠程攻擊者預先知道了會話標識值,就能夠假冒已登錄的合法用戶的身份。
攻擊流程:
a) 攻擊者使用受害者的瀏覽器來打開易受攻擊的站點的登錄表單。
b) 一旦打開表單,攻擊者就寫下會話標識值,然后等待。
c) 在受害者登錄到易受攻擊的站點時,其會話標識不會更新。
d) 然后攻擊者可利用會話標識值來假冒受害的用戶,並以該用戶的身份操作。
會話標識值可通過利用“跨站點腳本編制”脆弱性(導致受害者的瀏覽器在聯系易受攻擊的站點時
使用預定義的會話標識)來獲取,或者通過發起“會話固定”攻擊(將導致站點向受害者的瀏覽器提供預定義的會話標識)來獲取。