17 - 05 - 07 Web安全(36)
来源:互联网 发布:fast300怎么隐藏网络 编辑:程序博客网 时间:2024/05/16 06:21
# Session Adoption
Session Adoption是指PHP/ASP.NET能够接收处理未知会话ID的功能。
恶意使用该功能便可跳过会话固定攻击的准备阶段,从Web网站获得发行的会话ID的步骤。
即攻击者可私自创建会话ID构成陷阱,中间件却会误以为该会话ID是未知会话ID而接受。
# 跨站点请求伪造Cross-Site Request Forgeries,CSRF攻击是指攻击者通过设置好的陷阱,
强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。
跨站点请求伪造有可能造成的影响:
--利用已通过认证的用户权限更新设定信息等。
--利用已通过认证的用户权限购买商品。
--利用已通过认证的用户权限在留言板上发表言论。
## 跨站点请求伪造的攻击案例
以留言板功能为例,该功能只允许已认证并登录的用户在留言板上发表内容。
在该留言板系统上,受害者用户A是已认证状态。它的浏览器中的Cookie持有已认证的会话ID(步骤①)。
攻击者设置好一旦用户访问,即会发送在留言板上发表非主观行为产生的评论的请求的陷阱。
用户A的浏览器执行完陷阱中的请求后,留言板上也就会留下那条评论(步骤②)。
触发陷阱之际,如果用户A尚未通过认证,则无法利用用户A的身份权限在留言板上发表内容。
1 0
- 17 - 05 - 07 Web安全(36)
- 17 - 05 - 05 Web安全(32)
- 17 - 05 - 05 Web安全(34)
- 17 - 04 - 07 Web安全(03)
- 17 - 04 - 11 Web安全(07)
- 17 - 04 - 05 Web安全(01)
- 17 - 04 - 09 Web安全(05)
- 17 - 05 - 01 Web安全(28)
- 17 - 05 - 02 Web安全(29)
- 17 - 05 - 03 Web安全(30)
- 17 - 05 - 04 Web安全(31)
- 17 - 05 - 04 Web安全(33)
- 17 - 05 - 06 Web安全(35)
- 17 - 05 - 08 Web安全(37)
- 17 - 04 - 17 Web安全(13)
- 17 - 04 - 21 Web安全(17)
- 17 - 04 - 06 Web安全(02)
- 17 - 04 - 08 Web安全(04)
- Cocos2d-x 3.x 图形学渲染系列二十三
- 光线云
- org.apache.maven.plugins:maven-war-plugin
- 311. Sparse Matrix Multiplication
- 【Leetcode】190. Reverse Bits
- 17 - 05 - 07 Web安全(36)
- 解决IDEA自动重置LanguageLevel和JavaCompiler版本的问题
- 17 - 05 - 08 Web安全(37)
- 【OTT】欧盟计划修改电子隐私指令 首次将OTT服务提供商纳入监管
- 【Leetcode】191. Number of 1 Bits
- 谷歌Chrome浏览器提示adobe flash player已过期完美解决办法
- 【算法】程序猿不写代码是不对的11
- 277. Find the Celebrity
- 微信小程序动态的显示或隐藏控件