会话标识未更新(AppScan扫描结果)

最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中此篇文章是关于会话标识未更新问题的。下面就把这块东西分享出来。

原创文章,转载请注明

-----------------------------------------正题-------------------------

测试类型:
应用程序级别测试

威胁分类:
会话定置

原因:
Web 应用程序编程或配置不安全

安全性风险:
可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

受影响产品:
该问题可能会影响各种类型的产品。

引用:

“Session Fixation Vulnerability in Web-based Applications”,作者:Mitja Kolsek - Acros Security
PHP Manual, Session Handling Functions, Sessions and security技术描述:

技术描述:

在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话。通常在以下情况下会观察到这样
的场景:
[1] Web 应用程序在没有首先废除现有会话的情况下认证用户,也就是说,继续使用已与用户关联的会话
[2] 攻击者能够强制对用户使用已知会话标识,这样一旦用户进行认证,攻击者就有权访问已认证的会话
[3] 应用程序或容器使用可预测的会话标识。
在会话固定漏洞的普通探索过程中,攻击者在web 应用程序上创建新会话,并记录关联的会话标识。然后,攻击者致使受害者使用该会话标识针对服务
器进行关联,并可能进行认证,这样攻击者就能够通过活动会话访问用户的帐户。AppScan 发现在登录过程之前和之后的会话标识未更新,这意味着有
可能发生假冒用户的情况。远程攻击者预先知道了会话标识值,就能够假冒已登录的合法用户的身份。
攻击流程:
a) 攻击者使用受害者的浏览器来打开易受攻击的站点的登录表单。
b) 一旦打开表单,攻击者就写下会话标识值,然后等待。
c) 在受害者登录到易受攻击的站点时,其会话标识不会更新。
d) 然后攻击者可利用会话标识值来假冒受害的用户,并以该用户的身份操作。
会话标识值可通过利用“跨站点脚本编制”脆弱性(导致受害者的浏览器在联系易受攻击的站点时使用预定义的会话标识)来获取,或者通过发起“会话固
定”攻击(将导致站点向受害者的浏览器提供预定义的会话标识)来获取。

时间: 2024-11-06 03:31:48

会话标识未更新(AppScan扫描结果)的相关文章

java或者jsp中修复会话标识未更新漏洞

用IBM Rational AppScan扫描该漏洞部分描述: [1 / 2] 会话标识未更新 严重性: 高 测试类型: 应用程序 有漏洞的URL: *** 修复任务: 不要接受外部创建的会话标识. 会话标识未更新 应用程序 WASC 威胁分类 授权类型:会话定置 http://www.webappsec.org/projects/threat/classes/session_fixation.shtml CVE 引用 不适用 安全风险 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合

会话标识未更新

会话标识未更新 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因Web 应用程序编程或配置不安全技术描述 在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话.通常在以下情况下会观察到这样的场景: [1] Web 应用程序在没有首先废除现有会话的情况下认证用户,也就是说,继续使用已与用户关联的会话 [2] 攻击者能够强制对用户使用已知会话标识,这样一旦用户进行认

解决shiro会话标识未更新问题

要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效. 一般的解决方法如下: public void login(HttpServletRequest request, ...){ // 让旧session失效 request.getSession(true).invalidate(); //登录验证 } 但是,如果使用了shiro框架,这样做会报错:...Session already invalidated.原因是shiro对Htt

WEB安全实战(七)会话标识未更新

序 上一篇文章中,我们讨论了关于"浏览器记住用户名和密码"的问题,至于这篇文章嘛,我想谈谈关于"会话标识"的漏洞.而且,这篇文章也是"Web安全实战"系列的最后一篇.为什么要拿到最后来说呢,其实,是之前一直困扰我的问题,这个问题曾一顿让我抓狂,n(n=3~5)多天一直没有解决,当时也是搜遍了各大网站,各大论坛,均未找到合适的解决方案.其中的过程就不再废话了,转到正题. 问题 先介绍一下问题是如何发现的,当然,这个不是我发现的,是我们测试部的童鞋发

会话标示未更新解决方案

JSF项目,用appscan检测,报"会话标示未更新"漏洞,漏洞详情:用户在登陆应用程序前后,其会话标识一样,未进行更新,从而可以窃取或操作客户会话和Cookie,进行查看.变更用户信息及执行事务等操作. 推理: 测试结果似乎指示存在脆弱性,因为"原始请求"和"响应"中的会话标识相同.这些标志应该已在响应中更新. JSF页面在打开时,就会生成一个sessionid,登录后的sessionid未发生变化.解决方案:后台登陆方法,加入强行销毁sess

web安全测试---AppScan扫描工具

AappScan下载与安装 IBM官方下载;http://download2.boulder.ibm.com ... 2-AppScan_Setup.exe 本连接为7.8 简体中文版本的 破解补丁:http://www.vdisk.cn/down/index/4760606A4753 破解补丁中有相应的注册机与破解步骤,生成注册码做一下替换就OK了,这里不细说. AppScan其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,

如何更有效使用 Rational AppScan 扫描大型网站,第 1 部分: 工作原理及技术分析

Rational AppScan 工作原理 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等.我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard e

如何更有效使用 Rational AppScan 扫描大型网站,第 2 部分: 案例分析

使用 AppScan 进行扫描 针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan).执行(Do).检查(check).分析(Analysis and Action). 在计划阶段:明确目的,进行策略性的选择和任务分解. 明确目的:选择合适的扫描策略 了解对象:首先进行探索,了解网站结构和规模 确定策略:进行对应的配置 按照目录进行扫描任务的分解 按照扫描策略进行扫描任务的分解 执行阶段:一边扫描一遍观察 进行扫描 先爬后扫(继

JENKINS 打包 jar未更新版本

使用jenkins+maven+svn构建持续集成 maven快照库中程序已经更新.但是jenkins打包未更新jar至最新. 原因是:jenkins调用的maven的配置文件 maven默认情况下:更新本地仓库机制:每日更新一次.如需要更改实时检查.需要修改maven配置: settings中增加: <releases> <enabled>true</enabled> <updatePolicy>always</updatePolicy> &l