會話標識未更新（AppScan掃描結果）

標籤：

最近工作要求解決下web的項目的漏洞問題，掃描漏洞是用的AppScan工具，其中此篇文章是關於會話標識未更新問題的。下面就把這塊東西分享出來。

原創文章，轉載請註明

-----------------------------------------正題-------------------------

 

測試類型：
應用程式層級測試

 

威脅分類：
會話定置

 

原因：
Web 應用程式編程或配置不安全

 

安全性風險：
可能會竊取或操縱客戶會話和cookie，它們可能用於模仿合法使用者，從而使駭客能夠以該使用者身份查看或變更使用者記錄以及執行事務

 

 

受影響產品：
該問題可能會影響各種類型的產品。

 

引用：

 

“Session Fixation Vulnerability in Web-based Applications”，Mitja Kolsek - Acros Security
PHP Manual, Session Handling Functions, Sessions and security技術描述：

 

技術描述：

在認證使用者或者以其他方式建立新使用者會話時，如果不使任何現有會話標識失效，攻擊者就有機會竊取已認證的會話。通常在以下情況下會觀察到這樣
的情境：
[1] Web 應用程式在沒有首先廢除現有會話的情況下認證使用者，也就是說，繼續使用已與使用者關聯的會話
[2] 攻擊者能夠強制對使用者使用已知會話標識，這樣一旦使用者進行認證，攻擊者就有權訪問已認證的會話
[3] 應用程式或容器使用可預測的會話標識。
在會話固定漏洞的普通探索過程中，攻擊者在web 應用程式上建立新會話，並記錄關聯的會話標識。然後，攻擊者致使受害者使用該會話標識針對服務
器進行關聯，並可能進行認證，這樣攻擊者就能夠通過活動會話訪問使用者的帳戶。AppScan 發現在登入過程之前和之後的會話標識未更新，這意味著有
可能發生假冒使用者的情況。遠程攻擊者預Crowdsourced Security Testing道了會話標識值，就能夠假冒已登入的合法使用者的身份。
攻擊流程：
a) 攻擊者使用受害者的瀏覽器來開啟易受攻擊的網站的登入表單。
b) 一旦開啟表單，攻擊者就寫下會話標識值，然後等待。
c) 在受害者登入到易受攻擊的網站時，其會話標識不會更新。
d) 然後攻擊者可利用會話標識值來假冒受害的使用者，並以該使用者的身份操作。
會話標識值可通過利用“跨網站指令碼編製”脆弱性（導致受害者的瀏覽器在聯絡易受攻擊的網站時使用預定義的會話標識）來擷取，或者通過發起“會話固
定”攻擊（將導致網站向受害者的瀏覽器提供預定義的會話標識）來擷取。

會話標識未更新（AppScan掃描結果）