2回答
我真的不明白会话固定攻击。会话固定是允许攻击者劫持有效用户会话的攻击。攻击包括获取有效的会话ID (例如,连接到应用程序),引导用户使用该会话ID进行身份验证,然后根据使用的会话ID的知识劫持用户验证的会话。攻击者必须提供合法的Web应用程序会话ID,并试图让受害者的浏览器使用该会话ID。同时,我阅读了这份报告,安全研究人员说,该漏洞是会话
浏览 0提问于2016-04-22得票数 1
回答已采纳
1回答
ruby中的大多数会话固定主题都与rails有关。sinatra中是否存在会话固定漏洞?在rails中,我们通常建议在分配会话之前执行reset_session。我们如何在sinatra中防止会话固定?
浏览 3提问于2012-07-05得票数 7
回答已采纳
我正在一个网站上工作,我的工作是保护网站免受各种漏洞的影响,比如XSS等等。我运行了AppScan,这是一个IBM工具,用于在代码更改后检查漏洞,并在报告中看到一个错误:“会话标识符未更新”,并表示我正在为每个请求生成新的cookie,我相信这就是我们解决会话固定问题的方法我想问的一个重要问题是:“会话固定”和“未更新的会话标识符”之间有什么区别?
浏览 3提问于2013-11-25得票数 0
回答已采纳
1回答
我正在测试一个web应用程序,其中cookie(会话ID、会话值)在任何时候都是相同的。即使在成功的身份验证之后,它仍然保持不变。会话ID以HTTP cookie的形式传播。为了研究会话固定漏洞,我向我的同事发送了一个类似于http://yoursite.com/?SID=1209023的链接,因为我认为网站会自动为受害者在网站上的未来浏览分配受害者会话ID 1209023。但没起作用。
因此,我的应用程序不会受到这种影响,但仍然具有相同的
浏览 0提问于2017-02-28得票数 2
回答已采纳
我正在测试一个显示会话固定行为的ASP.NET应用程序.应用程序正在使用基于cookie的会话。基本上:在注销和重复登录时,cookie值保持不变(没有cookie值重新生成)我在那页上着陆了我打开了一个新的浏览器会话并设置了完全相同
浏览 0提问于2015-02-26得票数 3
回答已采纳
我正在寻找应该添加到Node/Express应用程序中的模块,这些模块可以解决下面列出的一般安全问题:谢谢你的帮忙!我找到了一些资源:ServerFault问题(2011-2012):漏洞测试器:EveryAuth
浏览 40提问于2013-01-31得票数 57
回答已采纳
1回答
应用程序在主页上分配会话ID,身份验证由其他应用程序处理。
在登录并返回到我的应用程序后,用户仍然具有相同的会话ID。但是,它将在注销后被更改。OWASP声明在登录时应该更改会话id,但是我不清楚为什么在这种情况下需要更改会话id?有必要改变它吗?
浏览 0提问于2017-12-26得票数 10
回答已采纳
在安全漏洞测试期间,我们的客户端请求应用程序在用户成功登录系统后更改会话ID (特别是ASP.NET_SessionID cookie值)。这可能解决会话固定问题,,当会话Id被更改时,session_end事件将如何被引发,并导致重新启动会话(系统),会话将再次重定向到登录页面。有没有办法在不引起这一切的情况下更改会话ID?
浏览 2提问于2012-12-21得票数 2
我希望减少会话固定攻击漏洞,因此在登录之前我使用了session_regenerate_id()。当我们可以访问旧的会话时,这是否安全?攻击者可以使用旧会话来修复会话吗?我应该将参数设置为true吗?
浏览 0提问于2012-06-27得票数 9
回答已采纳
1回答
PHP会话管理
、、、
因此,我的目标是通过会话id来管理用户,因此要做到这一点。如果存在旧会话id,则检查客户端cookie,如果没有要求服务器提供新会话并保存在客户端cookie中,则接受该id并请求服务器使用该id恢复会话。但我有两个顾虑:
服务器是否会失去对哪个会话过期的控制?只要客户端有旧的会话id,他们就可以永远使用它?编辑:一个可能的解决
浏览 0提问于2017-11-12得票数 0
我试图通过在用户登录后更改JSESSIONID来防止会话固定漏洞。但是,它不起作用。JSESSIONID的值一点也不变化。还是一样的。destroySession()若要触发会话id重置,请执行以下操作。
浏览 0提问于2014-04-15得票数 2
回答已采纳
我们最近对应用程序的渗透测试报告了lfr_session_state cookie的会话固定漏洞。我没有找到关于此cookie用途的在线资源。谁能解释一下这个曲奇是什么,它的用途是什么? 谢谢
浏览 48提问于2019-06-24得票数 0
我对会话固定的理解是这样的:
Hacker使用一些漏洞来检索当前登录用户的会话id。Hacker使用会话id访问站点,窃取会话并有效地登录.。建议您使用regenerate_session_id来减少黑客拦截会话的机会。现在,这难道不会触发regenerate_session_id,在同时注销最初登录的用户的同时用会话id更新黑客吗?
浏览 1提问于2012-01-05得票数 1
回答已采纳
1回答
Java会话固定
、、
在开发一个基于jsp/servlet的易受攻击的应用程序的过程中,我尝试引入会话固定漏洞。参考文档,我提出了以下代码,当在servlet中使用它创建一个新会话时,如果它存在,应该返回现有的HTTP,否则它应该返回null。无论如何,不应该创建新的会话。LoginSuccess.jsp"); response.sendRedirect("error.jsp");为了测试代码,我使用tomcat 7部署了它
浏览 0提问于2014-11-11得票数 9
1回答
我正在使用Django为我的雇主创建一个简单的网站,我不得不通过安全扫描运行代码来测试漏洞。其中一个问题是cookie漏洞,我可以找到要查找的文档。
持久化会话处理cookie :当会话处理cookie被永久设置时,即使在用户终止会话之后,它也允许cookie有效。因此,攻击者可以使用浏览器作为文本文件存储的会话cookie来访问受限信息。可缓存的cookie :可缓存的cooki
浏览 2提问于2016-08-03得票数 2
其中一个发现是潜在的会话固定弱点。
我们有几个We应用程序,都是Java,只有JASIG提供的单点登录。上述漏洞源于以下事实:所述服务在身份验证之前重定向到CAS ie时设置会话cookie (名为JSESSIONID),并在重定向后继续使用它。声明是因为相同的会话id是在认证之前和之后使用的,它对会话固定类型的攻击是开放的。考虑到所有服务和CAS都只在https上工作,而会话cookie是安全的,仅在服务器上生成http,那么会话<
浏览 0提问于2017-06-27得票数 0
1回答
或者,他们有没有办法在创建新会话时强制vaadin重新生成csrf令牌?我使用了以下代码来解决会话固定漏洞,但问题是csrf令牌与前一个会话令牌保持不变;因为reinitializeSession方法使用新的jsessionID创建了一个具有相同内容的新会话
VaadinService.reinitializeSession
浏览 5提问于2018-06-13得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
