Skip to content

Session Fixation Attacks?

session fixation attacks 是什么?

https://owasp.org/www-community/attacks/Session_fixation

使用session的stateful服务,如果服务端使用session_id来识别用户,但是在用户登录的时候没有新生成session_id,那么就可能遭受session fixation攻击。

基本流程

1,攻击者获取session_id

2,攻击者将带有session_id的链接发送给正常用户(攻击方式可以查看Session_fixation

3,正常用户使用个人的用户名和密码登录

4,此时正常用户可以查看个人信息,而攻击者也可以查看正常用户的个人信息

怎么防御?

每次用户登录的时候,都返回一个新的session_id即可。成熟的系统基本都没这个问题,玩具项目或代码review的话,就需要注意下了。

Published in系统设计

Be First to Comment

Leave a Reply

Your email address will not be published.