今天因为项目背景需要,需要检测web接口是否一些安全隐患。
无奈于从未掌握有系统的渗透性知识,只好根据个人对网络协议和 web 的理解,做一些探索,最终发现了一个session fixation attacks漏洞。
场景回顾:
使用抓包工具监听业务的登录登出接口,发现登录后的 JSESSIONID 为 A,登出后的 JSESSIONID 仍然为A;
但是由于后台开发使用了Apache 的 Shiro 组件,其会在每次重新登录后,分配新的SessionID;
所以,基于对 cookie 的理解,这个地方极有可能是有问题的。
Cookie 真正的内容却始终是没有变化的,相当于就是将用户的账户信息完全记录了下来
于是乎,当用户登录后,通过抓包工具将截取的头消息等内容进行重放-进行任意业务请求
就会出现致命的漏洞
漏洞本质即:
JSESSIONID 在登录前后不产生变化,使用了固定 cookie。原理参考
https://www.owasp.org/index.php/Session_fixation
实现可参考
https://blog.csdn.net/zxae86/article/details/50380997
小记:web安全测试之——固定session漏洞
原文地址:https://www.cnblogs.com/hailongchen/p/9026806.html