会话固定

medium Web App Scanning 插件 ID 98102

语言：

简介

会话固定

描述

HTTP 本身为无状态协议。因此，服务器无法确定哪些请求是由哪个客户端执行的，以及哪些客户端经过身份验证或未经身份验证。

在标头内使用 HTTP Cookie 可让 Web 服务器识别每个单独的客户端，从而确定哪些客户端持有有效的身份验证信息，哪些不持有。这被称为“会话 Cookie”或“会话标记”。

为防止客户端能够猜测对方的会话标记，每当与服务器建立会话时，分配的会话标记都应当是完全随机且不同的。

当客户端能够指定其会话标记的值，并且服务器未在身份验证成功后更改会话 Cookie 的值时，就会发生会话固定。有时候，尽管用户已经多次进行身份验证，会话标记也会保持不变。

网络犯罪分子会发送包含预设会话标记的特制 URL 链接，以滥用此功能。然后，网络犯罪分子将等待受害者登录并通过身份验证。如果攻击成功，网络犯罪分子将知道一个有效的会话 ID，进而可访问受害者的会话。

扫描程序发现其能够自行设置自身的会话标记。