会话固定漏洞小结——概念、原理、检测及防御

会话固定

概念

会话固定（Session fixation）是一种诱骗受害者使用攻击者指定的会话标识（SessionID）的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型，原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话，不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话，以此来获得用户的敏感信息。

原理

• 访问网站时，网站会设置cookie中的session
• 当用户等候后，cookie中的session保持不变
• 只要获取登陆前的session内容，就可以知道登陆后的session

漏洞存在检测

访问网站（未登录）：获取cookie信息，获取sessionid
       登录网站：查看cookie信息，获取sessionid
       查看登录前，登录后sessionid是否相同

漏洞防御

       在用户登录成功后重新创建一个session id
       登录前的匿名会话强制失效
       session id与浏览器绑定：session id与所访问浏览器有变化，立即重置
       session id与所访问的IP绑定：session id与所访问IP有变化，立即重置