session fixation attacks 是什么?
https://owasp.org/www-community/attacks/Session_fixation
使用session的stateful服务,如果服务端使用session_id来识别用户,但是在用户登录的时候没有新生成session_id,那么就可能遭受session fixation攻击。
基本流程

1,攻击者获取session_id
2,攻击者将带有session_id的链接发送给正常用户(攻击方式可以查看Session_fixation)
3,正常用户使用个人的用户名和密码登录
4,此时正常用户可以查看个人信息,而攻击者也可以查看正常用户的个人信息
怎么防御?
每次用户登录的时候,都返回一个新的session_id即可。成熟的系统基本都没这个问题,玩具项目或代码review的话,就需要注意下了。
Be First to Comment