Описание тега session-fixation
Фиксация сеанса - это уязвимость системы безопасности, которая возникает после аутентификации пользователя или иного установления нового сеанса пользователя без аннулирования любого существующего идентификатора сеанса. Это дает злоумышленнику возможность украсть аутентифицированные сеансы.
0
ответов
Фиксация сессии с использованием конфигурации tomcat7
Все мое приложение работает на ssl (https). Мы используем tomcat7 в качестве контейнера. Теперь в context.xml я добавил ниже конфигурацию, и я ожидаю, что после успешного входа в систему, JSESSIONID будет изменен - Valve className="org.apache.catali…
07 июл '14 в 16:06
1
ответ
Может ли флаг HttpOnly предотвратить атаку с фиксацией сеанса?
У меня есть необходимость сохранить идентификатор сессии после входа в систему. Мой файл cookie идентификатора сессии помечен как HttpOnly. Такая настройка абсолютно безопасна? Может ли злоумышленник выполнить атаку с фиксацией сеанса, если мой файл…
13 июл '17 в 14:45
2
ответа
ZF2: как реализовать тайм-аут сеанса и исправить фиксацию сеанса
Я хочу, чтобы мои сеансы истекали после 30 минут бездействия, однако, когда я настраивал это, мои пользователи выходили из системы случайным образом, даже если у них могло быть только несколько секунд бездействия. Я думаю, что проблема заключается в…
11 май '14 в 04:33
1
ответ
Исправление ошибки фиксации сеанса на сервере приложений смолы
Я использую сервер приложений смолы request.getSession.invalidate();reguest.getSession(true) не работает должным образом и не сбрасывает идентификатор сеанса при использовании Resin. Также я не могу использовать request.changeSessionId(), так как см…
27 июл '15 в 20:36
1
ответ
Фиксация сессии, все еще проблема с отключенной register_globals?
Я читал несколько статей о безопасности PHP и наткнулся на эту статью: http://shiflett.org/articles/session-fixation В этой статье описывается, что можно легко исправить сеанс, передав переменную PHPSESSID в запросе URL (например, ?PHPSESSID=1234). …
01 май '13 в 17:05
0
ответов
Предотвращение угона сессии, фиксации, инъекции и т. Д.
Я создаю систему входа в систему и много читаю о мерах безопасности, необходимых для предотвращения перехвата сеансов, фиксации, атак с использованием инъекций и т. Д. Я определенно не эксперт по безопасности - я собрал воедино многие из них с помощ…
30 дек '18 в 02:56
1
ответ
Предотвращение фиксации сессии в Java
У меня есть веб-приложение, написанное на Java. Мы не используем сессии в процессе аутентификации. Было выполнено сканирование приложения, и было обнаружено, что у нас есть возможность атаки с фиксацией сеанса. Мне интересно, когда мы не используем …
05 мар '12 в 16:07
0
ответов
Возможность произвольной записи файла на сервер через токен php сессии
Я прочитал, что пользователь может перезаписать произвольные файлы в файловой системе, указав специально созданное значение для токена PHPSESSID при входе в систему. И он заявляет, что может перезаписать другие файлы сеанса или удалить другие систем…
21 дек '15 в 03:27
1
ответ
Где поместить session_regenerate_id() в сценарий входа в PHP
Я создаю сценарий входа в систему, и мне нужно знать, куда именно я должен поместить функцию session_regenerate_id(), когда я хочу войти в систему пользователя. Как я это делаю, так: $user_id = $general->login($username, $password); $_SESSION['us…
24 май '13 в 22:27
1
ответ
Воспроизведение сессии против фиксации сессии против перехвата сессии
Привет, ребята, кто-нибудь может дать четкую разницу между фиксацией сеанса, воспроизведением сеанса и атаками перехвата сеанса, я прочитал много статей, но до сих пор неясен вопрос между перехватом сеанса и атаками повторного сеанса..... заранее сп…
03 май '17 в 06:42
1
ответ
Как я могу предотвратить фиксацию сессии в php проектах?
Я знаю, что фиксация сессии - это способ взломать сайты в php. Фиксация сеанса - это атака, которая позволяет злоумышленнику захватить действительный сеанс пользователя. фиксация сессии, но я не знаю, что может предотвратить эту проблему в моем прое…
21 июл '13 в 11:21
0
ответов
Обновить куки после аутентификации
Наше веб-приложение. Команда безопасности предложила нам менять cookie при каждом повышении авторизации. Соответственно, я хотел обновить куки на стороне клиента после аутентификации. И я использовал следующий код: System.Web.HttpCookie cookie = Req…
21 фев '18 в 14:44
1
ответ
Как предотвратить эту атаку фиксации сессии?
Я пытаюсь понять эту атаку сессионной фиксации, которая была теоретически описана против mtgox (хорошо известного обмена биткойнами): Я обнаружил фиксацию сеанса, ведущую к захвату аккаунта. Короче говоря, вот подвиг: name = 'document.cookie = "SESS…
16 янв '14 в 23:43
2
ответа
Простая атака с фиксацией сессии на localhost для тестирования
Я читал много вопросов по SO о риске фиксации / перехвата сессии, и многие люди предлагают изменить php.ini директивы как session.use_only_cookies в ON и другие директивы php.ini, чтобы сделать сервер более безопасным... Как исправить фиксацию сесси…
10 май '11 в 15:59
0
ответов
Фиксация сеанса, что если новый JSessionId будет взломан после входа пользователя в систему?
При фиксации сеанса идентификатор старого / предыдущего сеанса жертвы известен атакующему. Для обработки фиксации сеанса мы создаем новый сеанс после аутентификации пользователя. Что делать, если злоумышленник читает идентификатор сеанса пользовател…
29 июл '18 в 18:30
2
ответа
Что означают эти примеры о фиксации сессии?
Первый пример <?php session_start(); if(!isset($_SESSION['count'])) $_SESSION['count'] = 0; else ++$_SESSION['count']; echo $_SESSION['count'] . "<br />"; ?> второй пример <?php session_start(); if(!isset($_SESSION['initiated'])) { se…
05 янв '13 в 00:08
2
ответа
Репликация атаки фиксации сеанса, курсовая работа (php)
Я пытаюсь повторить сеанс для моей курсовой работы, и я нашел здесь немало советов, но не могу повторить атаку на мой локальный хост. Я попробовал пример отсюда: http://www.devshed.com/c/a/PHP/Sessions-and-Cookies/2/ fixation.php: <?php session_s…
11 авг '11 в 01:03
2
ответа
Безопасность SessionFixationProtectionStrategy, мешающая работе сессионных компонентов
Я использую Spring 3.1.1. Выпуск, Безопасность 3.1.0. Выпуск. Я добавил вход / выход в свое веб-приложение, однако bean-объект сессий не работает так, как был. Бин используется для подключения к CMS, называемой CMSConnector. Для аутентификации польз…
11 апр '12 в 13:26
0
ответов
Управление сессиями, чтобы избежать фиксации сессий
Как мне поддерживать одно и то же состояние сеанса с другим идентификатором сеанса при получении запроса на вход? Нужно ли делать что-либо еще со стороны сервера, кроме как присвоить идентификатор сеанса в Response.cookies пустой строке? потому что …
13 дек '18 в 09:25
1
ответ
Rails/RSpec: reset_session не изменяет значение HTTP-заголовка Set-Cookie во время интеграционных тестов
Я пишу интеграционный тест, чтобы убедиться, что мое веб-приложение не уязвимо для фиксации сессии. Я вручную проверил, что reset_session фактически запускается в логике аутентификации, и, кроме того, cookie действительно меняется, когда я вхожу в с…
21 янв '11 в 21:45