web 伺服器使用非隨機工作階段識別碼
medium Nessus Plugin ID 31657
語系:
概要
遠端 web 伺服器產生可預測的工作階段識別碼。說明
遠端 Web 伺服器會為每個連線產生工作階段識別碼。工作階段識別碼通常用來追蹤使用者造訪網站時的動作。遠端伺服器產生非隨機工作階段識別碼。攻擊者可能會使用此瑕疵,來猜測其他使用者的工作階段識別碼,從而偷竊他們的工作階段。解決方案
將遠端站點和 CGI 設定為使用隨機工作階段識別碼。另請參閱
https://pdos.csail.mit.edu/archive/cookies/seq_sessionid.html
Plugin 詳細資訊
嚴重性: Medium
ID: 31657
檔案名稱: www_nonrandom_session_id.nasl
版本: 1.13
類型: remote
系列: Web Servers
已發布: 2008/3/26
已更新: 2020/5/25
支援的感應器: Nessus
風險資訊
CVSS 評分論據: Based on analysis of vulnerability
CVSS v2
風險因素: Medium
基本分數: 6.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: manual
CVSS v3
風險因素: Medium
基本分數: 5.4
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N