最新版本(mm/dd/yy): 12/6/2011
漏洞描述
会话预测攻击重点在于预测允许攻击者绕过应用程序身份验证模式的会话ID值。通过分析和理解会话ID的生成过程,攻击者可以预测一个有效的会话ID值来获得应用的访问权限。第一步,攻击者需要收集一些有效的会话ID值以用于辨识认证的用户。然后,他必须了解会话ID的结构,用于创建它的信息以及应用程序用来保护它的加密或散列算法。一些错误的实现使用由用户名或其他可预测信息组成的会话ID,如时间戳或客户端IP地址。在最坏的情况下,这些信息以明文形式使用,或者使用像base64编码这样的弱算法进行编码。另外,攻击者可以实施暴力攻击技术来生成和测试不同的会话ID值,直到他成功访问应用程序。
攻击示例
某个应用程序的会话ID信息通常由固定宽度的字符串组成。随机性对避免其预测非常重要。查看图1中的示例,会话ID变量由JSESSIONID表示,其值为“user01”,它对应于用户名。通过尝试新的值,比如“user02”,可以在没有事先验证的情况下进入应用程序。
文章评论