Weak Session IDs(弱会话ID)

Weak Session IDs(弱会话ID)

前言

我自己看了一下这个dvwa的靶场练习,以及一些资料吧。

我觉得现在安全意识的提高,很多基础安全方面建设都提高了,像这种会话ID都有了比较安全的一个固定的模式,比如tomcat

tomcat生成的sessionid叫做jsessionid。

session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间+jvmid;

可以看到生成模式基本都是固定好的,提供接口来调用,不需要程序员来写

我找了下Weak Session IDs的cve发现了CVE-2010-0217,这个主要的安全原因是使用的随机字符串太短存在爆破风险,像dvwa这么弱的漏洞现实中是基本指望不上的

所以这里我觉得更多的是去学习和理解一下sessionid吧

练习

Low

Weak Session IDs(弱会话ID)_第1张图片
多抓几次包就可以看到dvwaSession每次是递增1的…没什么意思啊

这里我瞎改了一下这个值,也看不到什么影响啊,毫无体验感…

Medium

Weak Session IDs(弱会话ID)_第2张图片
这里抓包一看dvwaSession变成了一个大数(不能算大数,这种长度爆破都防不了吧),有经验的能立即想到时间戳吧,
3
转换一下很明显了…

High

这里做实验的时候不知道为什么卡着了,一直用的是上面的dvwaSession值…

直接看源码
Weak Session IDs(弱会话ID)_第3张图片
可以看到仅仅是在low的基础上使用了MD5进行加密…很显然还是不行的

Impossible

不可能级别使用随机数+时间戳+固定字符串(“Impossible”)进行 sha1 运算,作为 session Id

这里要是知道固定字符串,和随机数位数短,再加上知道sessionid用的sha1算法,我觉得还是可以尝试暴力破解?

总结

感觉做这个的时候确实没什么意思,过于不贴合实际了,再加上体验感几乎为0,所以我也没什么好说的了。

我觉得这种sessionid调用接口来生成基本不会有什么太大的安全隐患吧。

参考

  1. [DVWA 黑客攻防演练(七)Weak Session IDs](

你可能感兴趣的:(web安全)