会话固定

Question

我是网络开发的新手，并试图控制安全问题。我在http://guides.rubyonrails.org/security.html上读过这篇文章，这是作者提到的攻击者如何修复会话的一些步骤。

1. 攻击者创建一个有效的会话id:他加载他想要修复会话的web应用程序的登录页面，并从响应中获取cookie中的会话id (参见图像中的第1和第2段)。
2. ，他可能维护会话。例如，每20分钟到期一次的会话，大大缩短了攻击的时间范围。因此，他不时地访问web应用程序，以保持会话的活力。
3. 现在攻击者将强制用户浏览器使用这个会话id (见图像中的第3号)。由于您可能不会更改另一个域的cookie (由于相同的来源策略)，攻击者必须从目标web应用程序的域中运行JavaScript。XSS将JavaScript代码注入应用程序就完成了这一攻击。下面是一个例子: document.cookie="_session_id=16d5b78abb28e3d6206b60f22a03c8d9"；。稍后阅读更多关于XSS和注入的信息。
4. 攻击者用JavaScript代码诱使受害者进入受感染的页面。通过查看页面，受害者的浏览器将将会话id更改为陷阱会话id。当新的陷阱会话未使用时，web应用程序将要求用户立即使用authenticate.
5. From，受害者和攻击者将与同一会话协同使用web应用程序:会话变得有效，受害者没有注意到攻击。

我不明白几点。

1. 为什么让用户登录step5，因为会话是通过发送的？
2. 我在wiki上看到了可能的解决方案，比如用户属性检查和其他解决方案。当用户在step5?

中输入用户名和密码时，我们为什么不重新设置用户的会话？

Answer 1

1)攻击者在步骤1和步骤2中接收到一个尚未登录的会话。这是陷阱会话。在步骤5中，受害者登录时认为会话id是新的(和“秘密”)。在受害者登录时，攻击者能够重复使用“秘密”会话id，并有效地登录。

因此，要回答您的问题:受害者被迫登录，因为陷阱会话尚未登录，以便欺骗受害者使用此会话id登录。

2)在解释了会话固定的步骤后，第一个对策(2.8节)是创建一个新会话，并在登录后放弃旧的会话。完全是你的主意！