最近在我们的一个 ASP.NET 应用程序中使用 IBM AppScan 进行的安全扫描中,报告了以下中等漏洞
会话标识符未更新
严重性:中等
风险:可能会窃取或操纵客户会话和 cookie,这些会话和 cookie 可能被用来冒充合法用户,允许黑客查看或更改用户记录,并以该用户身份执行交易
原因:不安全的 Web 应用程序编程或配置。
我发现不同的线程谈论相同的内容并找到了建议的解决方案。但在那篇知识库文章中, Microsoft 解释了重用会话 ID 的用途,并且同一篇文章没有提到重用会话 ID 的任何风险。同样在会话标识符 | 除了 SessionID 值之外, MSDN没有提到任何风险,无论是作为 cookie 还是作为 URL 的一部分,都以明文形式发送。
所以我的问题是风险是真正的漏洞/可能的会话固定攻击还是只是误报风险?
会话标识符有可能在身份验证之前轻松跟踪。因为标识符定义了浏览器会话,所以当用户浏览登录页面时,将生成会话 ID。因此攻击者可以了解会话 ID 的模式。所以最好在成功登录后更改会话 ID。
您应该在其他范围内更改会话标识符。您可以查看该站点 https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
如果传输介质不安全,使用 cookie 总是会带来一定程度的漏洞。
这意味着您可以详细说明当有人窃听会话 cookie 或形成身份验证 cookie 或任何其他 cookie 但通过安全线路 (SSL) 进行通信时会发生什么情况会消除所有此类威胁。
我想不出它是特定于 ASP.NET 和特定于会话 cookie 的原因。另外,我不太明白他们在这里的意思
[...] 窃取或操纵会话和 cookie
首先,“或”。要操纵会话,您必须先窃取它。然后是“和”。你不能操纵cookies,你只能窃取它们。
这应该是那时
窃取cookies和操纵会话。
作为对此类警告的回应,您应确保: