HTTP会话固定

Question

根据维基百科的说法，攻击者马洛里有自己的SID，然后强迫Alice使用SID访问一个站点。为什么马洛里不接受爱丽丝的希德，如果她能MITM马洛里？此外，这种没有MITM的攻击是否只容易在查询字符串中受到SID的攻击？

Answer 1

马洛里不想要爱丽丝的会话id。马洛里想让爱丽丝扮演自己的角色，但网站认为她是马洛里。比如用她的信用卡买一些她认为她会得到的东西，但这实际上会被记在马洛里名下。

这次攻击有几个矢量。您提到的具有URL中会话id的cookie无会话是一个会话。Mallory控制子域并能够为父域编写cookie是另一种情况。

Answer 2

在本文的范围内，要点是有两种不同的方法可以使Mallory控制Alice的会话。方法的不同之处在于，当您考虑可能发生这种攻击的更大的世界时。

• 如果Mallory可以让Alice单击链接，并且目标系统允许从URL设置会话id，那么Mallory可以固定会话id。

这里不需要MITM。

• 通过安全通道提供给客户端的会话id不能在不中断安全通道的情况下成为MITMed。tbe http协议有一些扩展，允许只通过HTTPS连接返回cookie。但是，通过HTTP设置的cookie将通过HTTP和HTTPS返回。因此，如果Mallory可以干扰Alices通信，那么她可以固定会话值，然后在安全通道上使用该值。

这里只有一个不安全通道的MITM。

• 如果Mallory可以将她的javascript注入目标站点和XSS提供的任何页面，那么她可以设置固定会话id。虽然这也允许她读取带有安全标志的cookie，因此也可以读取会话，但HTTP还有另一个选项HTTPonly，它从javascript中隐藏cookie。这击败了浏览器中的会话劫持，但不包括会话固定。

在这里，即使用HSTS强制执行，使用HTTPS的缓解也是无效的。

只有cookie名称和它的值被发送回服务器，而不是用它创建的选项、路径、主机、方案或到期时间，也没有任何关于数据来源的信息。

也有一些情况下，劫持是比固定更有效的攻击。