Session fixation

摘要

Session fixation  

Session fixation

前两天我转了篇文章到pst的邮件列表，是关于在struts 2框架下重新生成session的，引起了一些讨论，我觉得有必要在这里提醒下程序员们，可能他们早就遗忘了这种威胁了。

JSESSIONID Regeneration in Struts 2 

实际上这就是一种针对Session Fixation 的防范。

Session Fixation 翻译过来就是 “Session 完成攻击”，以前的老的应用里可能比较常见这种问题，但是随着现在web应用越来越复杂，这种问题已经很少了。

先理解这个攻击，打个比方：

1. 你花钱买了一辆车
2. 你把车钥匙复制了一把
3. 你把这辆车卖给了一个冤大头
4. 冤大头同学花钱买了辆2手车，结果在某天你趁他不在，用事先复制好的钥匙把车开走了！

这个过程就是一个 Session Fixation 的过程，车钥匙就是 Session ID。

这类问题的本质在于：WEB应用在认证后没有改写或者更新session，从而导致了认证前的session还能使用。

如果攻击者事先能够获知该session ID，则可以欺骗用户使用该session ID进行认证，认证后，由于session ID不变，但是该session变成了一个认证后的session，从而攻击者可以直接使用该session ID以用户身份通过系统的认证。

在Web环境里，用户浏览页面时服务器会产生一个session，然后session ID会放在客户端，比如在浏览器URL里，或者是cookie里。用户持有这个session ID，服务器就可以找到他的session。用户输入用户名和密码后，系统对该session进行认证。认证成功，该session就是一个认证后的session，服务器就知道该用户认证过了，用户访问认证页面时就不再需要每次输入用户名和密码了。

比如lqqm论坛，就是把session ID放在url里

常见的利用Session Fixation的方法一般是发送一个link到邮件里，诱骗用户点击后登录，使得该session通过认证，比如：
http://www.2cto.com /auth?session=xxxxxxx
要对抗这种攻击，很简单，就是认证后重新生成一个session就可以了，甚至是增改当前session都能起到这个目的。

像lqqm论坛，在登录后马上就把session重写了。tomcat等也是如此。

而现在大部分的网站、论坛等复杂的WEB应用，一般是把session ID放在cookie中，而用户登录后，cookie里一般会多很多东西，这些多出来的东西也可以保证用户不受sesssion fixation攻击的影响。

不过，session fixation攻击作为一种漏洞类型，不仅仅局限于用户登录的部分，只要是任何需要“认证”的地方，都需要考虑到这种威胁。