51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 945|回复: 0
打印 上一主题 下一主题

什么是session会话固定安全测试

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2022-9-5 15:48:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
       1.1测试原理和方法  

       Session 是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时,应将客户端Session认证属性标识清空。如果未能清空客户端 Session 标识,在下次登录系统时,系统会重复利用该Session标识进行认证会话。攻击者可利用该漏洞生成固定Session会话,并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取。

  1.2测试过程
  在注销退出系统时,对当前浏览器授权 SessionID 值进行记录。再次登录系统,将本次授权 SessionID 值与上次进行比对校验。判断服务器是否使用与上次相同的 SessionID 值进行授权认证,若使用相同 SessionID 值则存在固定会话风险。测试流程如图 1-1 所示。




步骤一:在已登录授权认证的页面中单击“退出系统”,如图 1-2 所示。



步骤二:使用 Burp Suite 工具对本次退出系统的请求数据进行截取,对本次授权的 SessionID 进行记录备份,如图 1-3 所示。




步骤三:退出系统后,再次重新登录系统,如图 1-4 所示。




步骤四:使用 Burp Suite 工具对本次登录授权请求数据进行截取,并将本次登录与上次登录的授权 SessionID 值进行比较,判断是否相同,如图 1-5 所示。




1.3.修复建议
  在客户端登录系统时,应首先判断客户端是否提交浏览器的留存 Session 认证会话属 性标识,客户端提交此信息至服务器时,应及时销毁浏览器留存的 Session 认证会话,并要求客户端浏览器重新生成 Session认证会话属性标识。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-22 17:15 , Processed in 0.912427 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表