会话标识未更新
可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,
从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
可能原因
Web 应用程序编程或配置不安全
技术描述
在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会
窃取已认证的会话。通常在以下情况下会观察到这样的场景:
[1] Web 应用程序在没有首先废除现有会话的情况下认证用户,也就是说,继续使用已与用户关联的会话
[2] 攻击者能够强制对用户使用已知会话标识,这样一旦用户进行认证,攻击者就有权访问已认证的会话
[3] 应用程序或容器使用可预测的会话标识。
在会话固定漏洞的普通探索过程中,攻击者在 web 应用程序上创建新会话,并记录关联的会话标识。
然后,攻击者致使受害者使用该会话标识针对服务器进行关联,并可能进行认证,这样攻击者就能够
通过活动会话访问用户的帐户。AppScan 发现在登录过程之前和之后的会话标识未更新,这意味着
有可能发生假冒用户的情况。远程攻击者预先知道了会话标识值,就能够假冒已登录的合法用户的身份。
攻击流程:
a) 攻击者使用受害者的浏览器来打开易受攻击的站点的登录表单。
b) 一旦打开表单,攻击者就写下会话标识值,然后等待。
c) 在受害者登录到易受攻击的站点时,其会话标识不会更新。
d) 然后攻击者可利用会话标识值来假冒受害的用户,并以该用户的身份操作。
会话标识值可通过利用“跨站点脚本编制”脆弱性(导致受害者的浏览器在联系易受攻击的站点时
使用预定义的会话标识)来获取,或者通过发起“会话固定”攻击(将导致站点向受害者的浏览器提供预定义的会话标识)来获取。