67,516
社区成员
发帖
与我相关
我的任务
分享Session固定和Session劫持攻击成功之后又能怎么样?
谁能解释下Session固定和Session劫持之后攻击者能做些什么东西?
如果系统中没有采用session来做权限校验,劫持了session是不是也没什么作用?
还是说通过session劫持可以冒名访问不能访问的网站?
顺便能说下session固定攻击的防御方案吗? 如果我针对每次请求都做session重建这样岂不是影响了在这之前的链接?
如果系统中没有采用session来做权限校验,劫持了session是不是也没什么作用?
还是说通过session劫持可以冒名访问不能访问的网站?
顺便能说下session固定攻击的防御方案吗? 如果我针对每次请求都做session重建这样岂不是影响了在这之前的链接?
...全文
请发表友善的回复…
发表回复
吃饭睡觉不准打豆豆 2020-09-26
- 打赏
- 举报
我记得F12报错有个状态是SCP相关的
rumlee 2020-09-09
- 打赏
- 举报
1、session固定是攻击者提前给你创建好了一个sessionid,然后引导你去登录,应对这种攻击的办法是登录成功的时候,重置sessionid即可。这样在用户登录成功之后,攻击者设置的sessionid就没有意义了。
2、session劫持,其实这个你需要解决的应该是xss,设置Cookie的HttpOnly为true,在后端做同源检测等。如果攻击者能够获取到你的sessionid,那不管你sessionid怎么变,即使你每次变换也没用。所以你要做的是如何让攻击者获取不到sessionid,而不是每次都改变它。为了防止通过网络拦截获取,你也可以使用https证书加密。
每次请求都做session重建,我就呵呵了,那这还要session干什么?
没用session检测,当然所有基于session的攻击没有意义。但是不用session的话,又有什么办法呢?无非几种,url带参数、隐藏域或者js中保存token、请求头返回token等手段,其实最终的实现原理都一样,换汤不换药而已。至少在这几种实现方式中,通过cookie保存sessionid,服务器端实现session的方式还是相对更安全的。至少cookie本身给了我们一些安全性的设置,例如httponly,同源策略等。
鸣鸣Amadues 2020-08-25
- 打赏
- 举报
同源策略是针对js的吧,如果只是在浏览器地址栏里跳转的话,跟同源策略没关系的。
我公司用的单点登录是基于SAML的。
鸣鸣Amadues 2020-08-25
- 打赏
- 举报
session是检验手段之一,如果你系统没有用session检验,那前端也不会发session到服务器,那也谈不上劫持了。
劫持session成功了我的理解就是可以冒充某个user访问,防御的话一般https的传输内容本身就是加密的,有防御作用,其他方法的话,我知道的有非对称加密比如的JWT的方法,不过这需要在客户端先配置一个私钥,这种一般运用于企业级应用里的,一般没法用在个人用户上。
吃饭睡觉不准打豆豆 2020-08-21
- 打赏
- 举报
系统接入了单点,如果变更sessionid会导致请求被重定向到登陆,此时请求又会被浏览器的同源策略禁止, 而且这样每次都走单点对单点服务的压力也很大,有没有人有好的解决办法。
