偵測

對 HTTP Cookie 的工作階段固定攻擊

high Nessus Plugin ID 45084

語言:

概要

遠端 Web 應用程式容易遭受工作階段固定攻擊。

說明

藉由透過與跨網站指令碼類似的弱點操控 cookie,攻擊者可設定工作階段 cookie。合法使用者再次登入應用程式後將會遭到登出,cookie 將維持不變,而攻擊者將可竊取未關閉的工作階段並模擬冒充該使用者。

解決方案

- 修正應用程式,使系統在成功驗證後重新產生工作階段 cookie。

- 修正 cookie 操控缺陷。

另請參閱

https://en.wikipedia.org/wiki/Session_fixation

https://www.owasp.org/index.php/Session_Fixation

Plugin 詳細資訊

嚴重性: High

ID: 45084

檔案名稱: http_session_fixation.nasl

版本: 1.16

類型: remote

系列: Web Servers

已發布: 2010/3/17

已更新: 2018/11/15

支援的感應器: Nessus

參考資訊

CWE: 287, 384, 718, 724, 812, 928, 930, 935