@Luminary
2年前 提问
1个回答
会话固定攻击是怎么回事
GQQQy
2年前
官方采纳
会话固定攻击就是利用服务器的session不变机制,获取他人的sessionid,借助他人之手获得认证和授权,然后冒充他人进行攻击。会话攻击是结合了嗅探以及欺骗技术在内的攻击手段。在一次正常的会话过程当中,攻击者作为第三方参与到其中,将会话当中的某一台主机“踢”下线,然后由攻击者取代并接管会话,并同另外一台主机进行通讯交互。这种攻击方法危害非常大,攻击者接管会话后可以做很多事情。
过程如下:
Attacker先打开一个网站
http://www.****.com
,然后服务器会回复他一个session id
。比如SID=abcdefg
。Attacker把这个id记下了。Attacker给UserA发送一个电子邮件,他假装是什么推销什么,诱导UserA点击链接
http://unsafe/?SID=abcdefg
,SID后面是Attacker自己的session id。UserA被吸引了,点击了
http://unsafe/?SID=abcdefg
,像往常一样,输入了自己的帐号和口令从而登录到银行网站。因为服务器的session id不改变,现在Attacker点击
http://unsafe/?SID=abcdefg
后,他就拥有了Alice的身份。可以为所欲为了。