Web 攻防之业务安全:Session会话注销测试.

Web 攻防之业务安全:Session会话注销测试.

Web 攻防之业务安全:Session会话注销测试._第1张图片

业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全狭义的业务安全指业务系统自有的软件与服务的安全


目录

Session会话注销测试:

测试原理和方法:

测试过程:

第一步:在登录授权的系统页面时使用 Burp Suite 工具进行请求数据拦截,然后备份Session 认证的参数记录.

第二步:在Burp Suite 工具中数据拦截窗口中使用鼠标点击右键,然后会弹出菜单则选择Repeater 将请求的数据发送到 Repeater 模块中.

第三步:然后退出已经登陆系统.

第四步:返回 Burp Suite 工具中的 Repeater 模块中再次利用原来的Session认证值进行访问,然后点击 GO 按钮,并查看系统是否对退出后的用户授权进行解除授权.

修复建议:


免责声明:

严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。


Session会话注销测试:

测试原理和方法:

Session 是应用系统对浏览器客户端身份验证的属性标识,在用户注销或退出应用系统时,系统应将客户端 Session 认证属性标识清空。如果未能清空 Session 认证会话,该认证会话将持续有效,此时攻击者获取该 Session 认证会话会导致用户权限被盗取。


测试过程:

该项测试主要在用户注销退出系统授权后,判断授权 Session ID 值认证是否依然有效,若授权认证 Session ID 值依然有效则存在风险。

第一步:在登录授权的系统页面时使用 Burp Suite 工具进行请求数据拦截,然后备份Session 认证的参数记录.

Web 攻防之业务安全:Session会话注销测试._第2张图片

Web 攻防之业务安全:Session会话注销测试._第3张图片


第二步:在Burp Suite 工具中数据拦截窗口中使用鼠标点击右键,然后会弹出菜单则选择Repeater 将请求的数据发送到 Repeater 模块中.

Web 攻防之业务安全:Session会话注销测试._第4张图片


第三步:然后退出已经登陆系统.

Web 攻防之业务安全:Session会话注销测试._第5张图片

Web 攻防之业务安全:Session会话注销测试._第6张图片


第四步:返回 Burp Suite 工具中的 Repeater 模块中再次利用原来的Session认证值进行访问,然后点击 GO 按钮,并查看系统是否对退出后的用户授权进行解除授权.

Web 攻防之业务安全:Session会话注销测试._第7张图片

Web 攻防之业务安全:Session会话注销测试._第8张图片


修复建议:

在用户注销或退出应用系统时,服务器应及时销毁 Session 认证会话信息并清除客户端浏览器 Session 属性标识.

   

    

学习的书籍:Web 攻防之业务安全实战指南.

你可能感兴趣的:(渗透测试领域.,#,Web安全,领域.,#,Web,攻防之业务安全,网络安全,web安全,安全,系统安全)