会话固定攻击——强制使用已知会话ID

会话固定攻击——强制使用已知会话ID

摘要：会话固定攻击诱使用户使用攻击者指定的会话ID登录，从而攻击者可用该ID劫持会话。本文讲解攻击手法（通过URL、子域名Cookie注入），并给出登录后重置会话ID的防御。

关键词：黑客网站攻击；会话固定；渗透测试；会话劫持；Cookie安全

---

一、引言

如果应用在用户登录后不更新Session ID，攻击者可将自己的Session ID强加给用户，用户登录后攻击者利用相同ID窃取身份。

二、攻击流程

• 攻击者获取一个合法Session ID（访问站点）。
• 通过链接https://victim.com/?sessionid=attacker_session或子域名Cookie注入，让受害者使用该ID访问。
• 受害者登录，服务器未改变Session ID。
• 攻击者使用同一ID请求，获得登录状态。
  
  

三、防御

• 登录成功后强制重新生成Session ID（如session_regenerate_id）。
• 不使用URL传递Session ID。
  
  

四、总结

会话固定防御很简单：认证后刷新会话标识。