回答情况:
提问时间:
问题标签:
1回答
我在上读过这篇文章,这是作者提到的攻击者如何修复会话的一些步骤。攻击者创建一个有效的会话id:他加载他想要修复会话的web应用程序的登录页面,并从响应中获取cookie中的会话id (参见图像中的第1和第2段)。,他可能维护会话。例如,每20分钟到期一次的会话,大大缩短了攻击的时间范围。因此,他不时地访问web应用程序,以保持会话的活力。现在攻击者将强制用户浏览器使用这个会话id (见图像中的第3号)。通过查看页面,受害者的浏览器将将会话</e
浏览 2修改于2010-05-23得票数 2
1回答
在开发一个基于jsp/servlet的易受攻击的应用程序的过程中,我尝试引入会话固定漏洞。参考文档,我提出了以下代码,当在servlet中使用它创建一个新会话时,如果它存在,应该返回现有的HTTP,否则它应该返回null。无论如何,不应该创建新的会话。LoginSuccess.jsp"); response.sendRedirect("error.jsp");为了测试代码,我使用tomcat 7部署了它,并测试了
浏览 0修改于2014-11-11得票数 9
2回答
根据维基百科的说法,攻击者马洛里有自己的SID,然后强迫Alice使用SID访问一个站点。为什么马洛里不接受爱丽丝的希德,如果她能MITM马洛里?此外,这种没有MITM的攻击是否只容易在查询字符串中受到SID的攻击?
浏览 0修改于2016-07-20得票数 2
回答已采纳
2回答
我真的不明白会话固定攻击。会话固定是允许攻击者劫持有效用户会话的攻击。攻击包括获取有效的会话ID (例如,连接到应用程序),引导用户使用该会话ID进行身份验证,然后根据使用的会话ID的知识劫持用户验证的会话。攻击者必须提供合法的Web应用程序会话ID,并试图让受害者的浏览器使用该会话ID。同时,我阅读了这份报告,安全研究人员说,该漏洞是会话
浏览 0修改于2016-04-22得票数 1
回答已采纳
1回答
我是安全领域的新手,我有一个关于会话固定的基本问题。
在post请求上的Todo会话固定真的是可能的吗?如果这样做了,我们如何能够制作一个url来发送到目标。
浏览 3修改于2019-09-01得票数 0
1回答
我们的asp.net应用程序存在会话劫持和会话固定问题。我们还实现了SSL。Response.Cookies.Add(ck);3..我正在删除会话变量
浏览 2修改于2012-05-23得票数 0
会话固定描述为:
会话固定是允许攻击者劫持有效用户会话的攻击。该攻击探索了web应用程序管理会话ID (更具体地说,易受攻击的web应用程序)的方式上的一个限制。
浏览 2修改于2020-06-20得票数 6
回答已采纳
在StackOverflow上有很多关于会话固定的问题和答案,然而,我仍然对一件事感到困惑。人们经常建议将会话存储在cookie中不足以克服会话固定问题,您应该在登录后轮换会话id。我可以想象,如果您只使用会话id来标识用户,您可能仍然容易受到攻击。然而,我想问一个具体的案例。
让我们假设您使用一个签名的cookie来存储整个会话。您不会更改会话id,但当您更改会话本身并对其进行签名时,我看不到任何利用此设计的攻击场
浏览 5提问于2012-09-13得票数 1
回答已采纳
ruby中的大多数会话固定主题都与rails有关。sinatra中是否存在会话固定漏洞?在rails中,我们通常建议在分配会话之前执行reset_session。我们如何在sinatra中防止会话固定?
浏览 3提问于2012-07-05得票数 7
回答已采纳
我使用Apache对web会话进行集群,并使用Spring安全性进行基于表单的身份验证。Tomcat 7.0.68
如果我在Spring配置中关闭会话固定保护,如下所示:
&l
浏览 3修改于2016-04-19得票数 1
回答已采纳
影响:可以窃取或操作客户会话和cookies,这些会话和cookie可能用于模拟合法用户,允许黑客查看或更改用户记录,并以该用户的身份执行事务。建议的解决方案是在用户登录时更新会话ID,以防止会话固定攻击。此修复可以在代码级别或框架级别进行,具体取决于会话管理功能的实现位置。
我想找个办法解决这个问题,但我还是没有成功。
浏览 3提问于2014-09-29得票数 1
回答已采纳
我正在测试一个web应用程序,其中cookie(会话ID、会话值)在任何时候都是相同的。即使在成功的身份验证之后,它仍然保持不变。会话ID以HTTP cookie的形式传播。为了研究会话固定漏洞,我向我的同事发送了一个类似于http://yoursite.com/?SID=1209023的链接,因为我认为网站会自动为受害者在网站上的未来浏览分配受害者会话ID 1209023。但没起作用。
因此,我的应用程序不会受到这种影响,但仍然具有相同的cookie。有没
浏览 0修改于2017-02-28得票数 2
回答已采纳
1回答
我们在身份验证过程中不使用会话。运行了应用程序扫描,发现可能存在会话固定攻击。我想知道,当我们不使用会话时,如何修复或防止会话固定?
浏览 4修改于2012-03-19得票数 2
回答已采纳
使用Vert.x Web处理程序是否有可能修复会话固定问题(例如,在用户通过身份验证后更改会话id ),或者我是否必须实现自己的会话处理?在登录处理期间,我需要一个会话,但我不知道如何使用身份验证令牌创建新会话(或更改会话id)。
浏览 13提问于2019-09-08得票数 0
回答已采纳
4回答
我的问题是关于会话固定的总结:
Q1 -是否有一种方法显式地阻止站点接受任何会话标识符?Q2 -我没有在我的站点上使用$_GET变量,那么是否有一种方法可以防止从查询字符串接受会话标识符?
浏览 6修改于2012-05-23得票数 4
回答已采纳
这篇博客文章描述了一种预防会话固定攻击的方法(特别是ASP.Net )。其思想是会话id应该以可验证的方式绑定到用户的身份,这意味着给定的会话id对攻击者和受害者都无效。这确实意味着攻击者可以生成对给定身份有效的会话id,但仍然不能同时接受攻击者和受害者的会话id。这种方法有缺点吗?
浏览 0提问于2015-02-03得票数 0
无论如何,为了从抄送信息页面到验证页面获得抄送号码,我正在考虑使用会话,但我担心漏洞,并正在尝试调查它们(我正在阅读和)。我可以将cc号存储在会话中,在下一页检索它,使用它,然后使用它,几秒钟内它就会消失(还要注意,这些页面使用SSL)。)),并且考虑到我使用了这个特定的会话变量,这段代码容易受到会话固定的影响吗?重新生成会话ID (在此之前还是之后?)是否有益?在这种情况下,我在session中设置了cc#?我猜是的,因为到目前为止协议是SSL,我还猜测一旦重新生成了session,我
浏览 0修改于2017-05-23得票数 3
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号