问题标签 [session-hijacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 会话重放 vs 会话固定 vs 会话劫持
任何人都可以明确区分会话固定、会话重放和会话劫持攻击吗?我看过很多文章,但是会话劫持和会话重放攻击之间的问题仍然不清楚。
tomcat - 在tomcat上的grails spring security中登录用户的会话
我在 grails 中有一个应用程序,使用 spring-security 进行用户和角色管理。因为,过去几天我面临一个奇怪的问题:当一个用户在某个时候登录时,用户变成了另一个用户(会话混合)。
示例:用户 A 登录系统,用户 B 从另一个浏览器登录系统,当通过控制器动作移动时,用户 A 在某个随机点成为用户 A 系统中的用户 B,用户 B 也一样。
此问题在生产中,而不是在开发中。
我在互联网上发现了一些类似的案例,但没有一个 grails。 Tomcat 上的 Spring Security/JSF/Hibernate 意外会话劫持?,这个类似的但在 jsf 和提到的解决方案中似乎对我不起作用。另一个是会话混合 - apache httpd 与 mod_jk、tomcat、spring security - 为其他用户提供数据但这里的问题似乎是因为 mod_jk 对我来说不是这种情况(我没有使用 mod_jk)。
我的系统版本:
- Grails 版本:3.2.4
- Groovy 版本:2.4.7
- JVM版本:1.8.0_05
- 服务器版本:Apache Tomcat/8.5.14
- JVM版本:1.8.0_121-8u121-b13-0ubuntu1.16.04.2-b13
asp.net-mvc - 在 asp.net mvc 应用程序中防止会话劫持
我们如何防止在 asp.net mvc 应用程序中的会话劫持?测试人员执行了以下步骤来劫持会话 - OWASP A2。
- 以低权限用户身份登录。
- 以管理员用户身份登录。(在单独的浏览器中 - 来自同一台机器)
- 复制
ASP.Net Session ID了管理员用户的 - 将 low-prev 用户替换
ASP.Net Session ID为 admin 用户。
通过执行上述步骤,low-prev 用户能够访问应用程序的管理区域。
- 该应用程序由
SSL (https). - Cookie 已设置为
Secure和HttpOnly。 - Cookie 设置为在
Session_End和到期Signout。
尽管如此,我仍然可以使用Fiddler. 有人可以帮助解决上述问题。
谢谢。
laravel - Laravel - 即使它是加密的,是否可以进行会话劫持
例如,某些黑客(尽管它在 Laravel 中是加密的)是否有可能进行会话劫持并假装自己是另一个用户?那些简单的呢?例如,如果我在logged_in会话中设置为用户提供一些额外功能的值,当它像一个数字或布尔值一样简单时1,他们可以通过或其他一些浏览器插件自己创建它吗?cookie manager
谢谢
php - 在另一台服务器上设置的 PHP 会话
我正在尝试理解 php 中的会话。据我了解,在基本登录系统中,会话的工作方式如下:在页面 exampledomain.com/login.php 上:
然后在只有登录用户才能查看的页面上,我检查:
现在我不明白的是,如果一个黑客在他自己的服务器(hackerdomain.com)上做这样的事情,假设他知道一个用户名:
现在他在 $_SESSION['user_name'] 中设置了一个值,这样他即使不需要密码也可以登录。我对这次会议的事情感到非常困惑。我阅读了 php 文档,但我仍然不明白。
javascript - 加强 JavaScript 劫持:使用 Jquery Ajax 的易受攻击的框架 aspx
我正在研究一个遗留系统,我们刚刚使用 HP Fortify 对其进行了扫描,得到了 JavaScript Hijacking: Vulnerable Framework,代码如下。我能做些什么来确保这一点?我并不完全理解这个问题。
这在 VB 中调用了一个 ASPX 页面
csrf - 如何保护 Auth0 认证的 REST 服务免受 XSRF 和会话劫持?
一个常见的情况:SPA + REST。如果要放弃 Auth0 并使用 JWT 对 Web 用户进行身份验证,则必须将服务器在登录时提供的 XSRF 令牌存储在 cookie 中,并将其与 JWT 一起发送到请求标头中。
在相关的官方 Auth0 指南https://auth0.com/docs/architecture-scenarios/spa-api中,根本没有提到 XSRF 令牌。如果有人从用户那里窃取了访问令牌怎么办?他们是否可以访问该用户的 REST API?
Auth0 有另一个指南Preventing Cross-site Request Forgery (XSRF or CSRF),但它非常简短,我没有看到它如何解决我描述的问题。
python - Django POST 响应中的会话 ID 更改
在执行 POST 请求时,我们注意到用户和数据已更改。在开发工具中,我们看到session_id从服务器返回的与请求不同。
什么会导致这种行为?我们正在使用 Django 1.6
django - Django中不需要的会话重复
我们使用 cached_db 作为我们的 SESSION_ENGINE。我们有一个会话重复问题,这是场景:
- 用户 1 正在浏览系统。
- 用户 2 正在浏览和修改他的会话。
- 用户 1 继续浏览,发现他的会话变成了用户 2 的会话。
如果我们使用 SESSION_SAVE_EVERY_REQUEST 那么它工作正常,但我们想从源头解决这个问题。
我们正在使用带有 Redis 的 Django 1.6
security - 被阻止的 URI https://searches8704500-a.akamaihd.net 的 CSP 违规错误
我在我的应用程序中添加了 CSP,从最近几天开始,我的 CSP 报告正在发送有关阻止 uri 的违规规则的邮件 - https://searches8704500-a.akamaihd.net。我不确定这是什么,或者这是任何类型的恶意浏览器劫持攻击。请帮助我应该实施什么决议来解决这个问题。