Session fixation - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Session fixation

[Programming] Session fixation	29/04/2010 13:29:18 (+0700) \| #1 \| 210022

DuongTV
Member

Joined: 28/04/2010 21:41:48
Messages: 3
Offline

Thuật ngữ này được dùng để ám chỉ lỗi khi sử dụng session state với cookieless = true, session được lưu thông qua cookie, do đó attacker có thể chiếm quyền admin bằng cách thay đổi giá trị session id đã được ẩn đâu đó.

chi tiết xem tại đây: http://projects.webappsec.org/Session-Fixation

Lỗi này được tìm thấy trong quá trình Scan security bằng tool AppScan của IBM. Và được khuyến cáo fix như sau:

1. Always generate a new session to which the user will log in if successfully authenticated.
2. Prevent user ability to manipulate session ID.
3. Do not accept session IDs provided by the user's browser at login

Vậy làm thế nào để fix triệt để lỗi này, các hướng dẫn kia dường như quá chung chung. Tôi đã tìm thấy khá nhiều giải pháp trên mạng nhưng không thể fix triệt để. Làm ơn giúp tôi.

[Programming] Session fixation	29/04/2010 14:02:52 (+0700) \| #2 \| 210026

gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline

DuongTV wrote:

Thuật ngữ này được dùng để ám chỉ lỗi khi sử dụng session state với cookieless = true, session được lưu thông qua cookie, do đó attacker có thể chiếm quyền admin bằng cách thay đổi giá trị session id đã được ẩn đâu đó.

Câu này xem như bạn hiểu sai bản chất session fixation rồi đó smilie

Cánh chym không mỏi
lol

[Programming] Session fixation	29/04/2010 14:51:33 (+0700) \| #3 \| 210028

sleeper
Member

Joined: 27/09/2006 17:58:50
Messages: 149
Offline

Xem thêm ở đây:
http://www.acros.si/papers/session_fixation.pdf
hoặc ở đây:
http://en.wikipedia.org/wiki/Session_fixation

chờ thời...

[Programming] Session fixation	29/04/2010 15:25:15 (+0700) \| #4 \| 210031

DuongTV
Member

Joined: 28/04/2010 21:41:48
Messages: 3
Offline

Có thể mình đã hiểu sai bản chất nên chưa tìm được cách fix triệt để. Bạn nào có solution gì không giúp mình với.

[Programming] Session fixation	30/04/2010 05:11:49 (+0700) \| #5 \| 210062

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

DuongTV wrote:

Có thể mình đã hiểu sai bản chất nên chưa tìm được cách fix triệt để. Bạn nào có solution gì không giúp mình với.

Trước khi có thể hình thành solution, problem phải được hiểu rõ. Chưa biết được problem là cái gì dẫu có sẵn 1000 "solutions" cũng vô nghĩa.

What bringing us together is stronger than what pulling us apart.

[Programming] Session fixation	01/05/2010 16:46:41 (+0700) \| #6 \| 210126

DuongTV
Member

Joined: 28/04/2010 21:41:48
Messages: 3
Offline

Vậy thì ai đó chỉ bảo thêm về bản chất vấn đề với. Mấy bài viết này làm mình loạn cả lên giữa Session và Cookie. Không hiểu khái niệm Session ở đây muốn nói đến là cái gì? Và tại sao nó lại là vấn đề? Có vẻ rất nhiều site cũng gặp vấn đề tương tự. Lỗi này được đánh giá là High nên có vẻ rất nguy hiểm.

[Programming] Session fixation	03/05/2010 14:40:28 (+0700) \| #7 \| 210234

WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline

DuongTV wrote:

Vậy thì ai đó chỉ bảo thêm về bản chất vấn đề với. Mấy bài viết này làm mình loạn cả lên giữa Session và Cookie. Không hiểu khái niệm Session ở đây muốn nói đến là cái gì? Và tại sao nó lại là vấn đề? Có vẻ rất nhiều site cũng gặp vấn đề tương tự. Lỗi này được đánh giá là High nên có vẻ rất nguy hiểm.

Nói nôm na, "Session" là một phiên truy cập của client đến server, "Session Id" giúp server đánh dấu phiên truy cập đấy.

Khi một client truy cập, anh ta sẽ được cấp cho 1 session id, và session id đó được lưu trong cookie hoặc POST/GET field, gửi kèm theo mọi request của anh ta. Server lưu trữ session id đã cấp và phân biệt nó với những client khác.

Theo như mình hiểu "Session fixation" là một lỗi bảo mật do sử dụng session id không đúng cách, giúp attacker có thể mạo danh được phiên truy cập của một người hắn muốn tấn công. Cụ thể hơn là do application trên server không tạo session id mới để phân biệt người đã authenticate và người chưa authenticate. Một ví dụ cho việc "lừa đảo" này:

- A truy cập vào web : xxx.com , server cấp cho id : yyy, session được gửi lại kèm theo những request khác tới server theo dạng xxx.com?id=yyy. Bây giờ A gửi cho 1 người hắn muốn lừa là B cái link xxx.com?id=yyy.

- B click vào xxx.com?id=yyy, sau đó login vào tài khoản của B và xem trang xxx.com. Do server thấy request đã có sessionid, server sẽ ngầm hiểu đây là phiên truy cập của A và không tạo session id mới. Server báo lại B login successfully.

- A đi uống nước và chờ 1 thời gian để chắc mẩm B đã login, sau đó truy cập lại vào xxx.com?id=yyy.
==> Bingo... server trả lời A đã login... và được access mọi thứ dưới account của B. B không hề hay biết gì, và A chỉ bị cản lại trong trường hợp B đã logout, nhưng lúc đó thì có khi A đã làm được nhiều thứ với cái trang xxx.com rồi.

Bạn có thể đọc thêm tại link của các bạn trên đã đưa, mình cũng không biết thuật ngữ này và cũng đọc và diễn dải lại thôi.

Thân
wd.

-- w~ --

[Programming] Session fixation	03/05/2010 19:29:53 (+0700) \| #8 \| 210249

learn2hack
Elite Member

Joined: 29/06/2006 16:32:37
Messages: 825
Offline

Trên Wikipedia có 1 vài kịch bản mô phỏng việc mạo danh session, bạn có thể tham khảo từ những VD đơn giản nhất trở đi:

http://en.wikipedia.org/wiki/Session_fixation

Ngoài ra, có thể coi 1 video-in-action tại Youtube để xem cách họ làm mạo danh thế nào:

http://www.youtube.com/watch?v=K33U4CnucO0

Cách hướng dẫn ngăn chặn lỗi này nhờ vào generate new session id, bạn có thể tham khảo tại đây:

http://phpsec.org/projects/guide/4.html

Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org

Go to:

Users currently in here
1 Anonymous