cookie不变时测试会话固定

Question

我正在测试一个web应用程序，其中cookie(会话ID、会话值)在任何时候都是相同的。即使在成功的身份验证之后，它仍然保持不变。会话ID以HTTP cookie的形式传播。

为了研究会话固定漏洞，我向我的同事发送了一个类似于http://yoursite.com/?SID=1209023的链接，因为我认为网站会自动为受害者在网站上的未来浏览分配受害者会话ID 1209023。但没起作用。

因此，我的应用程序不会受到这种影响，但仍然具有相同的cookie。有没有其他方法来测试我的应用程序中是否存在会话固定漏洞？

Answer 1

您可以考虑使用Burp，并用自己的值覆盖服务器发出的cookie (Pre)。

或者，更简单的是，您可以使用您选择的任何cookie值启动一个请求，并验证服务器是否在任何时候更改它(一个请求就足以检查它)。

您已经知道cookie值不会在auth之后发生变化，所以它的潜力肯定存在--听起来您只需要计算出正确的参数就可以使用了。

如何真正利用它是另一回事--但是知道有一个，然后同意您应该使用OWASP的建议，并创建一个关于身份验证的新会话，这是一半的战斗。