常见的弱点

通常观察到这种情况时：

• Web应用程序可以在没有首先使现有会话无效的情况下对用户进行身份验证，从而继续使用已经与用户关联的会话。
• 攻击者能够在用户上强制已知的会话标识符，以便一旦用户对攻击者进行身份验证，就可以访问身份验证的会话。
• 应用程序或容器使用可预测的会话标识符。在会话固定漏洞的通用漏洞中，攻击者在Web应用程序上创建了一个新会话，并记录了关联的会话标识符。然后，攻击者使用该会话标识符使受害人与服务器相关联并可能对服务器进行身份验证，从而使攻击者通过活动会话访问用户帐户。

该清单显示可能出现给定弱点的可能区域。这些可能适用于特定的命名语言，操作系统，体系结构，范式，技术或一类此类平台。该平台与给定弱点出现在该实例的频率一起列出。

语言

示例1

下面的示例显示了从J2EE Web应用程序中的代码段，该应用程序在不首先调用httpsession.invalidate（）的情况下使用logincontext.login（）对用户进行身份验证。

为了利用上面的代码，攻击者可以首先从公共终端创建会话（也许是登录应用程序），记录应用程序分配的会话标识符，然后将浏览器重置为登录页面。接下来，受害者坐在同一公共终端时，请注意浏览器打开到网站的登录页面，并输入凭证以对应用程序进行身份验证。负责对受害者进行身份验证的代码继续使用预先存在的会话标识符，现在攻击者只是使用前面记录的会话标识符来访问受害者的活动会议，从而几乎不受限制地访问了会议寿命的受害者帐户。即使考虑到脆弱的应用程序，此处描述的特定攻击的成功取决于攻击者有利于攻击者的几个因素：访问不受监督的公共终端，使妥协的会话保持活跃的能力和受害者有兴趣登录该的受害者公共终端上的脆弱应用。

在大多数情况下，考虑到足够的时间投资，前两个挑战是可以克服的。只要该网站很受欢迎，找到既使用公共码头又有兴趣登录脆弱应用程序的受害者也是可能的。该站点鲜为人知的是，使用公共码头的有兴趣受害者的几率越低，上述攻击向量的成功机会就越低。攻击者在利用会话固定漏洞方面面临的最大挑战是，使用攻击者已知的会话标识符诱使受害者对弱势应用程序进行身份验证。

在上面的示例中，攻击者通过直接的方法进行了此操作，该方法不是微妙的，并且不适合涉及涉及不太知名网站的攻击。但是，不要使自满情绪陷入自满情绪；攻击者的皮带中有许多工具，可以帮助绕过该攻击向量的局限性。攻击者采用的最常见技术是利用目标位点中的跨站点脚本或HTTP响应分裂漏洞的优势[12]。通过欺骗受害者向反映JavaScript或其他代码回到受害者浏览器的脆弱应用程序中，将恶意请求提交，攻击者可以创建一个cookie，这将导致受害人重复使用攻击者控制的会话标识符。值得注意的是，cookie通常与给定URL相关的顶级域绑定。如果多个应用程序位于同一顶级域上，例如bank.example.com和coppes.example.com，一个应用程序中的漏洞可以允许攻击者设置使用固定会话标识符的cookie，该cookie将用于所有交互中在域示例上使用任何应用程序[29]。

示例2

下面的示例显示了从J2EE Web应用程序中的代码段，该应用程序通过直接发布到 j_security_check 的直接帖子对用户进行身份验证，通常在处理登录请求之前不会使现有会话无效。