Session 如何防止此会话固定攻击?
我试图理解针对mtgox(一家著名的比特币交易所)的理论描述的会话固定攻击: 我发现会话固定导致帐户接管。长话短说 简而言之,这里是: name='document.cookie=“SESSION\u ID=SID;Domain=.mtgox.com; 路径=/code“; 地点:https://payment.mtgox.com/38131846-a564-487c-abfb-6c5be47bce27/e6325160-7d49-4a69-b40f-42bb3d2f7b91?payment[取消]=取消'Session 如何防止此会话固定攻击?,session,session-fixation,Session,Session Fixation,我试图理解针对mtgox(一家著名的比特币交易所)的理论描述的会话固定攻击: 我发现会话固定导致帐户接管。长话短说 简而言之,这里是: name='document.cookie=“SESSION\u ID=SID;Domain=.mtgox.com; 路径=/code“; 地点:https://payment.mtgox.com/38131846-a564-487c-abfb-6c5be47bce27/e6325160-7d49-4a69-b40f-42bb3d2f7b91?payment[取
document.cookie=“SESSION\u ID=SID;Domain=.mtgox.com;Path=/code”
答案是什么?他们应该验证
取消URL
是否是有效的HTTP绝对URL
i、 e.检查它是否以http://
或https://
任何不匹配的内容都应被拒绝,并向其发出警告
这将阻止输入JavaScript代码,因为在取消链接中,协议将是http
/https
,而不是JavaScript
:
取消URL
还必须正确地进行HTML编码,以防止中断href
属性值上下文
我会想,如果mtgox将他们的cookie设置为http,那么这会阻止这种情况发生吗
设置Cookie可以防止Cookie被盗,但如果该漏洞存在,则意味着可能存在其他漏洞,如场景中描述的漏洞。由于cookie是在JavaScript中设置的,这将覆盖HttpOnly标志,因为路径更为具体。服务器无法在HTTP请求中检查此cookie是否为HttpOnly(或路径),因此此标志无法阻止此攻击的发生。为什么允许对任何敏感/安全相关的内容进行不安全的
HTTP
连接?由于xss攻击,会话固定在payment.mtgox.com
上,不是在商家网站上(example.com
),我的回答有用吗?