在最近的一次安全扫描中,在我们的一个ASP中使用IBM AppScan。NET应用程序,报告了以下介质漏洞
会话标识符未更新
严重性:中等
风险可能会窃取或操纵客户会话和cookie,这些会话和cookie可能被用来冒充合法用户,允许黑客查看或更改用户记录,并执行事务作为该用户
原因:不安全的web应用程序编程或配置。
我发现不同的线程谈论相同的内容,并找到了建议的解决方案。但在KB的那篇文章中,微软解释了会话ID的重用是如何有用的,同一篇文章没有提到会话ID重用的任何风险。此外,在会话标识符|MSDN中,除了SessionID值之外,没有其他提到的风险以明文形式发送,无论是作为cookie还是作为URL的一部分。
所以我的问题是,风险是真正的漏洞/可能的会话固定攻击,还是只是误报风险?
在身份验证之前,会话标识符可能很容易被跟踪。因为标识符定义了浏览器会话,所以当用户浏览登录页面时,将生成会话id。这样攻击者就可以知道会话id的模式,所以最好在成功登录后更改会话id。
您应该在其他范围内更改会话标识符。你可以看看网站https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
如果传输介质不安全,使用cookie总是会带来一定程度的漏洞。
这意味着,您可以详细说明当有人窃听会话cookie或形成身份验证cookie或任何其他cookie时会发生什么,但通过安全线路(SSL)进行通信可以消除所有此类威胁。
我想不出为什么它会是ASP。NET特定和会话cookie特定。此外,我不太明白他们在这里是什么意思
[…]窃取或操纵会话和cookie
首先是"或"。要操纵会话,必须先窃取它。然后是"one_answers"。你不能操纵cookie,你只能偷它们。
这应该是
窃取cookie并操纵会话。
在对此类警告的响应中,您应该确保:
- 发布cookie后,通信始终是安全的
- 当用户注销或关闭浏览器时,cookie会被正确销毁(没有持久cookie)