这是会话固定吗？

Question

我真的不明白会话固定攻击。

我读过OWASP定义的文章说：

会话固定是允许攻击者劫持有效用户会话的攻击。该攻击探索了web应用程序管理会话ID (更确切地说是易受攻击的web应用程序)的方式上的一个限制。在对用户进行身份验证时，它不会分配新的会话ID，从而可以使用现有的会话ID。攻击包括获取有效的会话ID (例如，连接到应用程序)，引导用户使用该会话ID进行身份验证，然后根据使用的会话ID的知识劫持用户验证的会话。攻击者必须提供合法的Web应用程序会话ID，并试图让受害者的浏览器使用该会话ID。

同时，我阅读了这份报告，安全研究人员说，该漏洞是会话固定会话固定报告：

摘要:在用户尝试身份验证之后，应用程序不会在cookie中设置新的会话ID。如果这是一个成功的登录，并且会话in存储在cookie中，那么这个应用程序就会受到会话固定漏洞的影响。

我的问题是:该报告会话固定中的漏洞，以及测试该漏洞的步骤是否是测试会话固定的步骤？

Answer 1

您引用的文本描述了会话固定问题。但是整个报告(我把它包括在下面供参考)描述了注销的一个问题。具体来说，它说注销只发生在客户端，而不是服务器端。根据OWASP会话管理备忘表对注销按钮的讨论：

web应用程序必须至少在服务器端使会话无效。

所以，如果正确的话，这是一个漏洞，只是没有会话固定。(我不确定它是否有名字。)

OWASP的注销功能测试指南描述了如何对其进行测试，但是下面包含的报表的复制说明也对此进行了描述。

为了特别确定，您也可能希望测试会话固定漏洞。只需遵循会话固定测试指南，如这是来自OWASP的这是来自OWASP的。

漏洞报告

bug-session fixation
Severity: Medium

Summary:

The application does not set a new Session ID in the cookie after what
appears to be an authentication attempt by the user. If this was a
successful login and the Session IDs are stored in cookies then this
application is affected by Session Fixation vulnerability.

To reproduce this vulnerability

1.open chrome and download edit this cookie ad-don
2.now open https://www.reddapi.com/ and log in 
3.now go to edit this cookie addon and click export all cookies ...
  by clicking this we get the cookie copied in clipboard..
4.logout from your https://www.reddapi.com/ account...
5.if needed u can close and open your browser.
6.now again go to https://www.reddapi.com/ but don't login..just
  simply go to edit this cookie addon and click import a cookie
  and paste the code which we previously exported.
7.after pasting just refresh the page and that's done you are now
  logged into your account without login details...

problems faced

the problems face if the vulnerability exits are
1.anyone can easily hijack victims or users session and get into his account
2.cookie stealing is the best way the hacker can get into and account..
  it would not take more than 5min to steal someones cookie using php n all...
3.even friends can fool the victim and get him hacked..

Answer 2

测试人员的想法并不重要。你自己试试看。打开网站看看曲奇饼。

登录。

看看饼干。

网站重新设置饼干了吗？

如果不是，你很容易受到会话固定。

还有其他的品种。注销和登录，曲奇改变了吗？

它应该会改变。

就这样。确保饼干变了。

这样做的风险在于，在您注销时，有人可以检查cookie或设置cookie，等待您登录，并使用cookie模拟您。