security - 你能给我一个 session 固定攻击的例子吗?

标签 security session-fixation

我已经阅读了有关 session 固定的内容,据我所知,它会强制用户使用攻击者的 session 。这样对吗?你能举个例子说明这会如何冒犯用户吗?

最佳答案

我通常不喜欢张贴维基百科的链接,但这里有一个指向 a very good explanation on Wikipedia 的链接。 ...

这是它的肉:

  • Alice 在银行有一个账户 http://unsafe/ .不幸的是,Alice 不是很了解安全。
  • 马洛里要去银行取爱丽丝的钱。
  • Alice 对 Mallory 有合理的信任度,并且会访问 Mallory 发送给她的链接。
  • Mallory 已确定 http://unsafe/接受任何 session 标识符,接受来自查询字符串的 session 标识符并且没有安全验证。 http://unsafe/因此不安全。
  • Mallory 给 Alice 发送了一封电子邮件:“嘿,看看这个,我们银行有一个很酷的新账户摘要功能,http://unsafe/?SID=I_WILL_KNOW_THE_SID”。 Mallory 试图将 SID 固定为 I_WILL_KNOW_THE_SID。
  • Alice 有兴趣访问 http://unsafe/?SID=I_WILL_KNOW_THE_SID .弹出通常的登录屏幕,Alice 登录。
  • Mallory 来访 http://unsafe/?SID=I_WILL_KNOW_THE_SID现在可以无限制地访问 Alice 的帐户。

    • 关于security - 你能给我一个 session 固定攻击的例子吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1122086/

    上一篇:language-agnostic - 保持伟大的想法开放并防止盗窃

    下一篇:oop - 对象如何在Lua中引用自身?

    相关文章:

    ruby-on-rails - rails/RSpec : reset_session not changing Set-Cookie HTTP header value during integration tests

    security - session 重放、 session 固定、 session 劫持

    c# - 在登录时生成新的 SessionID (ASP.NET)

    security - 用于保护连接字符串的选项

    linux - JBoss 7 中的 UDP 连接在哪里配置?

    asp.net - 我的网站中的身份验证和安全性 - 请需要建议

    google-chrome - 由于 HSTS,本地虚拟主机在 Chrome 上显示隐私错误

    java - 使用 Ajax 和基于 Java 的服务器的 Web 应用程序 - 安全相关

    ©2024 IT工具网  联系我们