会话固定与XSRF/CSRF

Question

这两者的定义分别是什么？

会话固定描述为：

会话固定是允许攻击者劫持有效用户会话的攻击。该攻击探索了web应用程序管理会话ID (更具体地说，易受攻击的web应用程序)的方式上的一个限制。

资料来源：OWASP

这似乎与CSRF所利用的相当接近。Session fixation是一个同义词还是一个来自CSRF的分支？

还想指出，我提供的OWASP链接中的关键术语几乎与CSRF中提到的术语相同。

Answer 1

不，这不是同义词。会话固定和CSRF是两种不同的攻击。

会话固定是一类会话劫持。攻击者试图窃取、猜测或修复会话id，然后使用它并作为受害者登录目标网站。它可以通过多种方式实现。如果应用程序使用httpOnly标志，不传输url中的会话id (session.use_trans_sid=0，session.use_only_cookies=1)并处理XSS漏洞，则基本保护。

CSRF是另一种攻击。攻击者不需要受害者会话id，而是导致受害者在正确登录的服务器上执行操作。因此，受害者自己执行恶意行为，但不知道。多么?受害者在html中加载包含恶意链接的页面(即。img src)或目标网站包含XSS漏洞，是加载外部恶意javascript和发出ajax请求的好点。

标准保护是CSRF令牌。它是每个敏感请求中包含的另一个令牌(会话id的下一个)。攻击者不应该知道特定用户的当前CSRF令牌，也不能准备恶意链接或ajax请求。每个会话的CSRF令牌应该是唯一的。敏感请求是表单提交、删除/设置某些内容(权限等)。因此，应用程序不必绝对保护每个请求。在URL中传输CSRF令牌也不是一个好主意。

有关CSRF的更多信息，请查看OWASP。。