会话固定

Q: 会话固定 是什么?

攻击者在受害者登录前向其浏览器植入已知的会话 ID,使其在认证后仍对攻击者有效的攻击。 它属于网络安全的 应用安全 分类。

Q: 如何防御 会话固定?

针对 会话固定 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

会话固定是什么?

会话固定攻击者在受害者登录前向其浏览器植入已知的会话 ID,使其在认证后仍对攻击者有效的攻击。

会话固定利用了在未登录与已登录之间保留同一会话 ID 的应用。攻击者先获取或设置一个会话 ID,例如通过带有 JSESSIONID 参数的链接邀请受害者,或注入会话 Cookie,然后等待受害者登录。由于服务器在认证后复用了被固定的 ID,攻击者便可直接访问受害者账户。标准防御措施是在登录成功后销毁登录前的会话,并签发一个全新的、加密学随机的会话 ID,理想情况下设置 HttpOnly、Secure 与 SameSite。拒绝通过 URL 参数提供会话 ID,并将会话与客户端属性绑定,可进一步加固。

● 示例

01
攻击者发送带有「?sid=abc」的链接,预先设置会话 Cookie,受害者登录后攻击者重用 abc。
02
托管平台在子域间共享会话 ID,使被攻陷的子域可以固定主应用的会话。

● 常见问题

会话固定是什么?

攻击者在受害者登录前向其浏览器植入已知的会话 ID,使其在认证后仍对攻击者有效的攻击。它属于网络安全的应用安全分类。

会话固定是什么意思?

攻击者在受害者登录前向其浏览器植入已知的会话 ID,使其在认证后仍对攻击者有效的攻击。

如何防御会话固定?

针对会话固定的防御通常结合技术控制与运营实践,详见上方完整定义。

● 相关术语

● 另见

会话令牌(Session Token)

会话固定 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

会话固定是什么?