会话认证漏洞

相关课程的线上实验版本已投递到实验楼，实验楼在线教育平台提供非常优秀的在线实验环境，建议有兴趣的朋友可以看看：点击前往

一、文章介绍

认证的目的是为了认出用户是谁，而授权的目的是为了决定用户能够做什么，身份认证实际上就是一个验证凭证的过程。

本篇文章主要解决下面三个问题：

• 什么是身份认证漏洞？

• cookie和session的安全性？

• 如何防范身份认证漏洞？

二、漏洞简介

Web身份认证通常使用Cookie、Session、Openid、OAuth、SSO、REST等，而其中最常使用的是Cookie和Session。
cookie和session都能够进行会话跟踪，它们的区别在于：

• Session是在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件中；

• Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。

三、漏洞原理

3.1 cookie身份认证漏洞

这种漏洞原理相当简单，因为cookie能够存储用户信息，某些网站的权限验证机制直接读取cookie中的字段来判断权限，所以我们能够直接通过修改cookie中的值来绕过验证。

我编写了一个用于身份识别的简单示例：

此处输入图片的描述

具体代码如下：

 欢迎您登录系统".$_SESSION['username']."管理员!
"; 
    if($username == shiyanlou)
        echo "
 欢迎普通用户shiyanlou".$_SESSION['username']."！
"; 

}
echo "
  注销
"; 
?>

可以看到，该页面直接读取cookie中的username字段进行的权限判断，这种方式非常不安全。

接下来我们尝试利用一下这个漏洞：

先使用普通用户登录试试：

此处输入图片的描述

按F12抓包获取cookie：

此处输入图片的描述

接下来我们修改cookie为root，并将请求发送给服务器：

此处输入图片的描述

---

此处输入图片的描述

---

此处输入图片的描述

可以看到，我们此时已经是管理员权限了

3.2 seesionid 固定漏洞

seesionid 固定攻击的核心要点就是让合法用户使用攻击者预先设定的session ID来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session ID来冒充用户访问应用程序，因为一个session id对浏览器来说就是一个用户。

简单来讲，攻击者要想办法，让某个用户通过他预先选择的session标识符来访问系统，一旦系统接收到了这个用户的请求，并且使用用户传递过来的session标识创建了会话，攻击者就可以使用这个session标识了，也就等于冒充了你的身份。

我们通过下面这个例子来理解一下，有如下代码：

    session_start();

    if (!isset($_SESSION['count']))
    {
       $_SESSION['count'] = 0;
    }
    else
    {
       $_SESSION['count']++;
    }

    echo $_SESSION['count'];

该页面在第一次访问的时候，这段代码会输出0, 刷新页面，将输出1。不断刷新的话，输出的数值会不断增大，这意味着每一次请求的值得到了保留，客户端和服务端之间的状态得到了保持。

我们在url中包括预先设定的session标识符, 再通过该url访问网页时，服务器就会根据传递过来的session标识创建会话，比如如下链接：

 
click me!

如果通过这个链接访问目标网站，那么目标网站会根据链接末尾的参数自动生成Session Id，
并且之后即便更换一台电脑或者浏览器之后，再访问通过此链接访问此页面，也会继续使用一开始创建的seesion id进行会话，也就是利用的是之前的那个身份。

我们来看一下在浏览器中访问此页面的效果：

此处输入图片的描述

此处输入图片的描述

刷新页面，输出数字会不断增大：

此处输入图片的描述

之后使用另一台电脑或者另一个浏览器通过该链接访问此页面：（按道理来说，更换电脑和浏览器之后，cookie信息会重新生成，也就是说你是用的另一个身份来访问该页面的，比如你用一台电脑登录淘宝账户之后，你换一台电脑重新加载淘宝主页，这时候是肯定没有登录的。）

此处输入图片的描述

可以看到初次访问的输出值不是0，而是在firefox上面浏览器中最后输出值基础上增加了1。这说明你已经侵入了前一次创建的session,虽然你在同一台电脑上，但是这两个不同的浏览器就可以代表两个不同的用户，后者成功冒充成了前者。

四、漏洞防范

4.1 cookie身份认证漏洞防范

单纯的cookie容易被修改，所以我们添加session变量对cookie进行验证，添加的代码如下：

if(isset($_COOKIE['username']))
        {   
            $_SESSION['veri'] = $_COOKIE['username'];
            header("location: main.php");
        }
        

用session存储cookie的值，并且session存放在服务端不会被修改。

我们将之前的代码修改之后：

if($_COOKIE['username']==$_SESSION['veri'])#在调用cookie中的值之前，会先使用session对其中的值进行判断，确保未被恶意修改。

{
    

    if($_COOKIE['username'] == root)

        echo "
 欢迎您登录系统".$_COOKIE['username']."管理员!
"; 
    if($_COOKIE['username'] == shiyanlou)
        echo "
 欢迎普通用户".$_COOKIE['username']."！
"; 

}
else
{
    echo "
 无法检测用户权限！
";
}

这样再使用之前的抓包修改cookie的手段绕过权限就行不通了。