会话固定 VS XSRF/CSRF
Session Fixation VS XSRF/CSRF
两者分别是什么定义?
会话固定描述为:
Session Fixation is an attack that permits an attacker to hijack a valid user session. The attack explores a limitation in the way the web application manages the session ID, more specifically the vulnerable web application.`
来源:OWASP
这似乎与 CSRF 利用的内容相当接近。两者的区别是什么,还是 Session fixation 只是同义词或来自 CSRF 的分支?
还想提一下,我提供的来自 OWASP link 的关键术语与 CSRF
中提到的几乎相同
不,它不是同义词。会话固定和 CSRF 是两种不同的攻击。
会话固定是一种class会话劫持。攻击者试图窃取、猜测或修复会话 ID,然后使用它并作为受害者登录目标网站。它可以通过多种方式完成。基本保护是如果应用程序使用 httpOnly 标志,不在 url 中传输会话 ID(session.use_trans_sid=0,session.use_only_cookies=1)并处理 XSS 漏洞。
CSRF是另一种攻击。攻击者不想要受害者会话 ID,而是让受害者在受害者正确登录的服务器上执行操作。因此受害者自己执行恶意操作但不知道。如何?受害者在 html 中加载包含恶意 link 的页面(即 img src)或目标网站包含 XSS 漏洞,这是加载外部恶意 javascript 并发布 ajax 请求。
标准保护是 CSRF 令牌。它是包含在每个敏感请求中的另一个令牌(会话 ID 的下一个)。攻击者不应该知道特定用户的当前 CSRF 令牌,并且不能准备恶意的 link 或 ajax 请求。每个会话的 CSRF 令牌应该是唯一的。敏感请求是表单提交,deleting/setting 某事(许可等)。所以应用程序不必绝对保护每个请求。在 URL.
中传输 CSRF 令牌也不是好主意
两者分别是什么定义?
会话固定描述为:
Session Fixation is an attack that permits an attacker to hijack a valid user session. The attack explores a limitation in the way the web application manages the session ID, more specifically the vulnerable web application.`
来源:OWASP
这似乎与 CSRF 利用的内容相当接近。两者的区别是什么,还是 Session fixation 只是同义词或来自 CSRF 的分支?
还想提一下,我提供的来自 OWASP link 的关键术语与 CSRF
中提到的几乎相同不,它不是同义词。会话固定和 CSRF 是两种不同的攻击。
会话固定是一种class会话劫持。攻击者试图窃取、猜测或修复会话 ID,然后使用它并作为受害者登录目标网站。它可以通过多种方式完成。基本保护是如果应用程序使用 httpOnly 标志,不在 url 中传输会话 ID(session.use_trans_sid=0,session.use_only_cookies=1)并处理 XSS 漏洞。
CSRF是另一种攻击。攻击者不想要受害者会话 ID,而是让受害者在受害者正确登录的服务器上执行操作。因此受害者自己执行恶意操作但不知道。如何?受害者在 html 中加载包含恶意 link 的页面(即 img src)或目标网站包含 XSS 漏洞,这是加载外部恶意 javascript 并发布 ajax 请求。
标准保护是 CSRF 令牌。它是包含在每个敏感请求中的另一个令牌(会话 ID 的下一个)。攻击者不应该知道特定用户的当前 CSRF 令牌,并且不能准备恶意的 link 或 ajax 请求。每个会话的 CSRF 令牌应该是唯一的。敏感请求是表单提交,deleting/setting 某事(许可等)。所以应用程序不必绝对保护每个请求。在 URL.
中传输 CSRF 令牌也不是好主意