【AppScan深入浅出】修复漏洞:会话标识未更新(中危)
2017-08-31 15:28
393 查看
关于“会话标识未更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。
“会话标识未更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞。
JSP的修复方法可参考这位大侠的文章,我个人没有确认过:http://blog.csdn.net/yutan_313/article/details/6260573
ASP的修复方法可以参考以下代码,在登录按钮点击后,确认登录前,加入3行代码对Cookie进行清空已达到重置SessionId的效果。
AppScan中,对“会话标识未更新”也提供了修改建议:
一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵会话标识。请勿接受用户浏览器登录时所提供的会话标识
使用代码前
使用代码后
有人会问这个漏洞为何会产生? 为什么有的站点会出现,有的站点没有使用代码却又不会出现。写在最后,我提供一个思路,这样才是深入浅出的研究问题:
有时候网站登录页面,并不会立刻产生SessionId,例如我写的登录页面,页面中是不会出现ASP.NET_SessionId:(使用Chrome+Edit This Cookie插件)
登录后才会出现ASP.NET_SessionId,另一个是登录代码中增加的验证Cookie。
但是当我在登录页加载之前,添加了信息在用户Session中(例如为了添加图形验证码的需要),这时候登录页加载的时候就会产生SessionId
一旦登录前就有SessionId,那么AppScan就有了可以比较的SessionId,在登录后比较SessionId的变化,那么也就会产生“会话标识未更新”漏洞。
写在最后的最后,“会话标识未更新”的危害,在于攻击者通过某种方式(如XSS)将自己的Id置入了被攻击者的浏览器,将会话标识改为某个攻击者预设的值,被攻击者正常登陆,若服务器接收了这个预设值,那么相当于攻击者获得了被攻击者登录后的权限,因此才要求在登录时更新会话标识。
关于漏洞的产生
“会话标识未更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞。
修复方式
JSP的修复方法可参考这位大侠的文章,我个人没有确认过:http://blog.csdn.net/yutan_313/article/details/6260573ASP的修复方法可以参考以下代码,在登录按钮点击后,确认登录前,加入3行代码对Cookie进行清空已达到重置SessionId的效果。
AppScan中,对“会话标识未更新”也提供了修改建议:
一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵会话标识。请勿接受用户浏览器登录时所提供的会话标识
结果确认
使用代码前使用代码后
为何会产生漏洞
有人会问这个漏洞为何会产生? 为什么有的站点会出现,有的站点没有使用代码却又不会出现。写在最后,我提供一个思路,这样才是深入浅出的研究问题:有时候网站登录页面,并不会立刻产生SessionId,例如我写的登录页面,页面中是不会出现ASP.NET_SessionId:(使用Chrome+Edit This Cookie插件)
登录后才会出现ASP.NET_SessionId,另一个是登录代码中增加的验证Cookie。
但是当我在登录页加载之前,添加了信息在用户Session中(例如为了添加图形验证码的需要),这时候登录页加载的时候就会产生SessionId
一旦登录前就有SessionId,那么AppScan就有了可以比较的SessionId,在登录后比较SessionId的变化,那么也就会产生“会话标识未更新”漏洞。
写在最后的最后,“会话标识未更新”的危害,在于攻击者通过某种方式(如XSS)将自己的Id置入了被攻击者的浏览器,将会话标识改为某个攻击者预设的值,被攻击者正常登陆,若服务器接收了这个预设值,那么相当于攻击者获得了被攻击者登录后的权限,因此才要求在登录时更新会话标识。
相关文章推荐
- 【AppScan深入浅出】修复漏洞:会话标识未更新(中危)
- [AppScan深入浅出]修复漏洞:会话标识未更新
- IBM Security Appscan漏洞--会话标识未更新
- java或者jsp中修复会话标识未更新漏洞
- 会话标识未更新(AppScan扫描结果)
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- java或者jsp中修复会话标识未更新漏洞
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- java或者jsp中修复会话标识未更新漏洞
- java或者jsp中修复会话标识未更新漏洞
- java或者jsp中修复会话标识未更新漏洞
- Appscan---会话标识未更新
- appscan 安全漏洞修复办法
- IBM appcsan扫描安全漏洞--会话标识未更新
- Appscan 安全漏洞修复
- IBM AppScan 安全漏洞问题修复(.net)
- AppScan漏洞“已解密的登陆请求”修复解决方案
- 会话标识未更新 漏洞处理
- AppScan修复漏洞:启用不安全的HTTP方法