工作階段固定

medium Web App Scanning Plugin ID 98102

語言:

概要

工作階段固定

說明

HTTP 本身是無狀態的通訊協定，因此伺服器無法判斷哪個用戶端執行了哪些要求，以及哪些用戶端經過驗證或未經驗證。

如果在標頭內使用 HTTP Cookie，Web 伺服器就可以識別每個個別的用戶端，並因此判斷哪些用戶端持有有效驗證，而哪些沒有。這些稱為「工作階段 Cookie」或「工作階段權杖」。

為防止用戶端猜到彼此的工作階段權杖，每個指派的工作階段權杖都應完全隨機，且每次伺服器建立工作階段時，指派的工作階段權杖都不應相同。

當用戶端可指定自己的工作階段權杖值，且成功驗證後伺服器未變更工作階段 Cookie 值時，會發生工作階段固定。有時候，無論經過驗證的次數如何，工作階段權杖仍會針對使用者維持不變。

網路不法份子會濫用此功能，傳送內含預定工作階段權杖的特製 URL 連結，然後等待受害者登入並通過驗證。若成功，網路不法份子即可知道有效的工作階段 ID，因此可存取受害者的工作階段。

掃描程式發現它可以設定自己的工作階段權杖。