黑客攻防从入门到精通(Web技术实战篇)
上QQ阅读APP看书,第一时间看更新

第6章
利用会话管理漏洞入侵Web及防范技术

Web开发人员要在无状态的HTTP协议下进行状态维持和控制用户的一次会话需要引入其他的机制,这就是会话管理。绝大多数的网页应用程序环境如ASP、PHP等,都提供给了开发者已经架构好的会话管理函数。由于会话管理机制所发挥的关键作用,它们成为针对应用程序的恶意攻击的主要目标。

如果攻击者能够破坏应用程序的会话管理,他就能轻易避开其实施的验证机制,不需要用户证书即可伪装成其他应用程序用户。如果攻击者以这种方式攻破一个管理用户,那么他就能够控制整个应用程序。因此如何架构和如何管理会话令牌,就成了各个网页应用程序开发技术的相异之处,同时也成为安全焦点。

和验证机制一样,通常会话管理功能中也存在着大量缺陷。一方面,在最容易遭受攻击的情况下,攻击者只需递增应用程序向他们发布的令牌值,就可以转换到另一名用户的账户。在这种情况下,任何人都可以访问应用程序的全部功能。另一方面,如果应用程序受到严密保护,攻击者必须付出巨大的代价,破解几层模糊处理并实施复杂的自动攻击,才能发现应用程序中存在的细小漏洞。

本章将分析我们在Web应用程序中发现的会话管理漏洞,还将描述应用程序为防范会话管理攻击所应用的技术。