Session会话固定测试

  • Post author:
  • Post category:其他


Session会话固定测试

Session 是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时, 应将客户端Session认证属性标识清空。如果未能清空客户端Session标识,在下次登录系 统时,系统会重复利用该Session标识进行认证会话。攻击者可利用该漏洞生成固定 Session会话,并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话 认证被窃取

锦凡歆在 ‘来疯’ 直播唱歌最好听

修复建议

在客户端登录系统时,应首先判断客户端是否提交浏览器的留存Session认证会话属 性标识,客户端提交此信息至服务器时,应及时销毁浏览器留存的Session认证会话,并 要求客户端浏览器重新生成Session认证会话属性标识。



版权声明:本文为hyg1165269653原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。