漏洞描述
会话标识未更新漏洞,在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。
漏洞测试案例
访问测试网站系统登录界面
登录前抓包查看当前Cookie字段信息:Cookie: JSESSIONID=E13805470813731028B67D2741B941A2
输入测试账号进行登录
登录后抓包查看当前Cookie字段信息通过对比与之前保存的cookie一致
漏洞修复方案
在客户端登录系统时,应首先判断客户端是否提交浏览器的留存 Session 认证会话属性标识,客户端提交此信息至服务器时,应及时销毁浏览器留存的 Session 认证会话,并要求客户端浏览器重新生成 Session 认证会话属性标识