简介: 诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。受害者登录网站后,攻击者可利用session登录
漏洞挖掘: 用户登录前后的sessionID相同
修复建议:
1、在用户登录后重新生成sessionID
2、session id与所访问浏览器有变化时重置
3、session id与所访问IP有变化时重置
案例:
微信扫一扫
简介: 诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。受害者登录网站后,攻击者可利用session登录
漏洞挖掘: 用户登录前后的sessionID相同
修复建议:
1、在用户登录后重新生成sessionID
2、session id与所访问浏览器有变化时重置
3、session id与所访问IP有变化时重置
案例:
相关推荐