会话固定攻击 - yxcms session固定漏洞
目录php
会话固定攻击
Session fixation attack(会话固定攻击)是利用服务器的session不变机制,借他人之手得到认证和受权,而后冒充他人。html
session固定漏洞最为核心的其实应该是程序使用session做为认证方式,但又放开了session_id的设置,而且设置session_id在session_starts()执行以后,session_id以key/value的形式指定了后端使用哪一个session。chrome
1.Attacker先打开一个网站http://www.baidu.com,而后服务器会回复他一个session id。好比SID=abcdefg。Attacker把这个id记下了。
2.Attacker给UserA发送一个电子邮件,他伪装是什么推销什么,诱导UserA点击连接http://unsafe/?SID=abcdefg,SID后面是Attacker本身的session id。
3.UserA被吸引了,点击了http://unsafe/?SID=abcdefg,像往常同样,输入了本身的账号和口令从而登陆到银行网站。
4.由于服务器的session id不改变,如今Attacker点击http://unsafe/?SID=abcdefg后,他就拥有了Alice的身份。能够随心所欲了。后端
e.g.
yxcms session固定攻击
用chrome新注册用户做为攻击用户,取得 PHPSESSID = qhi5f1rj7tu07dfkq53ngfqim2服务器
模拟受害者使用firefox登录管理后台,此时正常管理员 PHPSESSID= ib9pf18oh90ngm13q9m3utjp26, 后台地址为 http://192.168.27.136/yxcms/index.php?r=admin/index/indexsession
攻击者诱使受害者访问恶意连接: http://192.168.27.136/yxcms/index.php?r=admin/index/index&sessionid=qhi5f1rj7tu07dfkq53ngfqim2函数
攻击者使用chrome访问后台连接:http://192.168.27.136/yxcms/index.php?r=admin/index/index , 帐号变为管理员网站
分析
漏洞代码在:yxcms/protected/include/lib/common.function.php 中:url
640 function session($name='',$value = '') {
641 if(empty($name)){
642 return $_SESSION;
643 }
644 $sessionId = request('request.sessionid');
645 if(!empty($sessionId)){
646 session_id($sessionId);
647 }
648 if(!isset($_SESSION)){
649 session_starts();
650 }
651 if($value === ''){
652 $session = $_SESSION[$name];
653 }else if($value==null){
654 unset($_SESSION[$name]);
655 }else{
656 $session = $_SESSION[$name] = $value;
657 }
658 return $session;
659 }
644行能够看到,若是session_id存在,则使用session_id方法将其设置为当前会话的id。 而且session_id能够经过requests方法获得。这就有问题了。firefox
跟进request方法:
660 function request($str, $default = null, $function = null) {
661 $str = trim($str);
662 list($method,$name) = explode('.',$str,2);
663 $method = strtoupper($method);
664 switch ($method) {
665 case 'POST':
666 $type = $_POST;
667 break;
668 case 'SESSION':
669 $type = $_SESSION;
670 break;
671 case 'REQUEST':
672 $type = $_REQUEST;
673 break;
674 case 'COOKIE':
675 $type = $_COOKIE;
676 break;
677 case 'GET':
678 default:
679 $type = $_GET;
680 break;
681 }
682 if(empty($name)){
683 $request = filter_string($type);
684 }else{
685 if($method == 'GET'){
686 $request = urldecode($type[$name]);
687 }else{
688 $request = $type[$name];
689 }
690 $request = filter_string($request);
691 //设置默认值
692 if($default){
693 if(empty($request)){
694 $request = $default;
695 }
696 }
697 //设置处理函数
698 if($function){
699 $request = call_user_func($function,$request);
700 }
701 }
702 return $request;
703 }
了解更多
https://xz.aliyun.com/t/2025
http://www.freebuf.com/column/162886.html
- 1. 固定SessionID 漏洞 攻击(session fixation attacks)
- 2. Session固定攻击
- 3. 会话固定漏洞_查找特定于会话管理的漏洞
- 4. Session攻击(会话劫持+固定)与防御
- 5. 会话固定
- 6. 安全漏洞防御(6)危险:会话固定攻击漏洞,你们的系统都堵上了吗
- 7. Session攻击手段(会话劫持/固定)及其安全防护措施
- 8. 会话固定漏洞小结——概念、原理、检测及防御
- 9. 固定定位
- 10. CSRF:CSRF漏洞攻击
- 更多相关文章...
- • XSD 限定 / Facets - XML Schema 教程
- • 自定义TypeHandler - MyBatis教程
- • RxJava操作符(十)自定义操作符
- • 漫谈MySQL的锁机制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解决方法
- 2. Qt5.7以上调用虚拟键盘(支持中文),以及源码修改(可拖动,水平缩放)
- 3. 软件测试面试- 购物车功能测试用例设计
- 4. ElasticSearch(概念篇):你知道的, 为了搜索…
- 5. redux理解
- 6. gitee创建第一个项目
- 7. 支持向量机之硬间隔(一步步推导,通俗易懂)
- 8. Mysql 异步复制延迟的原因及解决方案
- 9. 如何在运行SEPM配置向导时将不可认的复杂数据库密码改为简单密码
- 10. windows系统下tftp服务器使用