会话标识未更新

可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，

从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

 

可能原因

Web 应用程序编程或配置不安全

技术描述

在认证用户或者以其他方式建立新用户会话时，如果不使任何现有会话标识失效，攻击者就有机会

窃取已认证的会话。通常在以下情况下会观察到这样的场景：

[1] Web 应用程序在没有首先废除现有会话的情况下认证用户，也就是说，继续使用已与用户关联的会话

[2] 攻击者能够强制对用户使用已知会话标识，这样一旦用户进行认证，攻击者就有权访问已认证的会话

[3] 应用程序或容器使用可预测的会话标识。

在会话固定漏洞的普通探索过程中，攻击者在 web 应用程序上创建新会话，并记录关联的会话标识。

然后，攻击者致使受害者使用该会话标识针对服务器进行关联，并可能进行认证，这样攻击者就能够

通过活动会话访问用户的帐户。AppScan 发现在登录过程之前和之后的会话标识未更新，这意味着

有可能发生假冒用户的情况。远程攻击者预先知道了会话标识值，就能够假冒已登录的合法用户的身份。

攻击流程：

a) 攻击者使用受害者的浏览器来打开易受攻击的站点的登录表单。

b) 一旦打开表单，攻击者就写下会话标识值，然后等待。

c) 在受害者登录到易受攻击的站点时，其会话标识不会更新。

d) 然后攻击者可利用会话标识值来假冒受害的用户，并以该用户的身份操作。

会话标识值可通过利用“跨站点脚本编制”脆弱性（导致受害者的浏览器在联系易受攻击的站点时

使用预定义的会话标识）来获取，或者通过发起“会话固定”攻击（将导致站点向受害者的浏览器提供预定义的会话标识）来获取。