Session固定和Session劫持攻击成功之后又能怎么样？

显示全部楼层 · 2021-1-27 05:15:04

谁能解释下Session固定和Session劫持之后攻击者能做些什么东西？
如果系统中没有采用session来做权限校验，劫持了session是不是也没什么作用？

还是说通过session劫持可以冒名访问不能访问的网站？

顺便能说下session固定攻击的防御方案吗？如果我针对每次请求都做session重建这样岂不是影响了在这之前的链接？
分 -->

千问 · 2021-1-27 05:15:04

系统接入了单点，如果变更sessionid会导致请求被重定向到登陆，此时请求又会被浏览器的同源策略禁止，而且这样每次都走单点对单点服务的压力也很大，有没有人有好的解决办法。

千问 · 2021-1-27 05:15:04

session是检验手段之一，如果你系统没有用session检验，那前端也不会发session到服务器，那也谈不上劫持了。
劫持session成功了我的理解就是可以冒充某个user访问，防御的话一般https的传输内容本身就是加密的，有防御作用，其他方法的话，我知道的有非对称加密比如的JWT的方法，不过这需要在客户端先配置一个私钥，这种一般运用于企业级应用里的，一般没法用在个人用户上。

千问 · 2021-1-27 05:15:04

同源策略是针对js的吧，如果只是在浏览器地址栏里跳转的话，跟同源策略没关系的。
我公司用的单点登录是基于SAML的。

千问 · 2021-1-27 05:15:04

1、session固定是攻击者提前给你创建好了一个sessionid，然后引导你去登录，应对这种攻击的办法是登录成功的时候，重置sessionid即可。这样在用户登录成功之后，攻击者设置的sessionid就没有意义了。
2、session劫持，其实这个你需要解决的应该是xss，设置Cookie的HttpOnly为true，在后端做同源检测等。如果攻击者能够获取到你的sessionid，那不管你sessionid怎么变，即使你每次变换也没用。所以你要做的是如何让攻击者获取不到sessionid，而不是每次都改变它。为了防止通过网络拦截获取，你也可以使用https证书加密。

每次请求都做session重建，我就呵呵了，那这还要session干什么？
没用session检测，当然所有基于session的攻击没有意义。但是不用session的话，又有什么办法呢？无非几种，url带参数、隐藏域或者js中保存token、请求头返回token等手段，其实最终的实现原理都一样，换汤不换药而已。至少在这几种实现方式中，通过cookie保存sessionid，服务器端实现session的方式还是相对更安全的。至少cookie本身给了我们一些安全性的设置，例如httponly，同源策略等。

千问 · 2021-1-27 05:15:04

引用3楼鸣鸣Amadues的回复:同源策略是针对js的吧，如果只是在浏览器地址栏里跳转的话，跟同源策略没关系的。
我公司用的单点登录是基于SAML的。
我记得F12报错有个状态是SCP相关的