banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Session fixation  XML
  [Programming]   Session fixation 29/04/2010 13:29:18 (+0700) | #1 | 210022
DuongTV
Member

[Minus]    0    [Plus]
Joined: 28/04/2010 21:41:48
Messages: 3
Offline
[Profile] [PM]
Thuật ngữ này được dùng để ám chỉ lỗi khi sử dụng session state với cookieless = true, session được lưu thông qua cookie, do đó attacker có thể chiếm quyền admin bằng cách thay đổi giá trị session id đã được ẩn đâu đó.

chi tiết xem tại đây: http://projects.webappsec.org/Session-Fixation

Lỗi này được tìm thấy trong quá trình Scan security bằng tool AppScan của IBM. Và được khuyến cáo fix như sau:

1. Always generate a new session to which the user will log in if successfully authenticated.
2. Prevent user ability to manipulate session ID.
3. Do not accept session IDs provided by the user's browser at login

Vậy làm thế nào để fix triệt để lỗi này, các hướng dẫn kia dường như quá chung chung. Tôi đã tìm thấy khá nhiều giải pháp trên mạng nhưng không thể fix triệt để. Làm ơn giúp tôi.
[Up] [Print Copy]
  [Programming]   Session fixation 29/04/2010 14:02:52 (+0700) | #2 | 210026
[Avatar]
gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
[Profile] [PM] [ICQ]

DuongTV wrote:
Thuật ngữ này được dùng để ám chỉ lỗi khi sử dụng session state với cookieless = true, session được lưu thông qua cookie, do đó attacker có thể chiếm quyền admin bằng cách thay đổi giá trị session id đã được ẩn đâu đó. 

Câu này xem như bạn hiểu sai bản chất session fixation rồi đó smilie
Cánh chym không mỏi
lol
[Up] [Print Copy]
  [Programming]   Session fixation 29/04/2010 14:51:33 (+0700) | #3 | 210028
sleeper
Member

[Minus]    0    [Plus]
Joined: 27/09/2006 17:58:50
Messages: 149
Offline
[Profile] [PM]
Xem thêm ở đây:
http://www.acros.si/papers/session_fixation.pdf
hoặc ở đây:
http://en.wikipedia.org/wiki/Session_fixation
chờ thời...
[Up] [Print Copy]
  [Programming]   Session fixation 29/04/2010 15:25:15 (+0700) | #4 | 210031
DuongTV
Member

[Minus]    0    [Plus]
Joined: 28/04/2010 21:41:48
Messages: 3
Offline
[Profile] [PM]
Có thể mình đã hiểu sai bản chất nên chưa tìm được cách fix triệt để. Bạn nào có solution gì không giúp mình với.
[Up] [Print Copy]
  [Programming]   Session fixation 30/04/2010 05:11:49 (+0700) | #5 | 210062
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

DuongTV wrote:
Có thể mình đã hiểu sai bản chất nên chưa tìm được cách fix triệt để. Bạn nào có solution gì không giúp mình với. 


Trước khi có thể hình thành solution, problem phải được hiểu rõ. Chưa biết được problem là cái gì dẫu có sẵn 1000 "solutions" cũng vô nghĩa.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Programming]   Session fixation 01/05/2010 16:46:41 (+0700) | #6 | 210126
DuongTV
Member

[Minus]    0    [Plus]
Joined: 28/04/2010 21:41:48
Messages: 3
Offline
[Profile] [PM]
Vậy thì ai đó chỉ bảo thêm về bản chất vấn đề với. Mấy bài viết này làm mình loạn cả lên giữa Session và Cookie. Không hiểu khái niệm Session ở đây muốn nói đến là cái gì? Và tại sao nó lại là vấn đề? Có vẻ rất nhiều site cũng gặp vấn đề tương tự. Lỗi này được đánh giá là High nên có vẻ rất nguy hiểm.
[Up] [Print Copy]
  [Programming]   Session fixation 03/05/2010 14:40:28 (+0700) | #7 | 210234
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]

DuongTV wrote:
Vậy thì ai đó chỉ bảo thêm về bản chất vấn đề với. Mấy bài viết này làm mình loạn cả lên giữa Session và Cookie. Không hiểu khái niệm Session ở đây muốn nói đến là cái gì? Và tại sao nó lại là vấn đề? Có vẻ rất nhiều site cũng gặp vấn đề tương tự. Lỗi này được đánh giá là High nên có vẻ rất nguy hiểm. 


Nói nôm na, "Session" là một phiên truy cập của client đến server, "Session Id" giúp server đánh dấu phiên truy cập đấy.

Khi một client truy cập, anh ta sẽ được cấp cho 1 session id, và session id đó được lưu trong cookie hoặc POST/GET field, gửi kèm theo mọi request của anh ta. Server lưu trữ session id đã cấp và phân biệt nó với những client khác.

Theo như mình hiểu "Session fixation" là một lỗi bảo mật do sử dụng session id không đúng cách, giúp attacker có thể mạo danh được phiên truy cập của một người hắn muốn tấn công. Cụ thể hơn là do application trên server không tạo session id mới để phân biệt người đã authenticate và người chưa authenticate. Một ví dụ cho việc "lừa đảo" này:

- A truy cập vào web : xxx.com , server cấp cho id : yyy, session được gửi lại kèm theo những request khác tới server theo dạng xxx.com?id=yyy. Bây giờ A gửi cho 1 người hắn muốn lừa là B cái link xxx.com?id=yyy.

- B click vào xxx.com?id=yyy, sau đó login vào tài khoản của B và xem trang xxx.com. Do server thấy request đã có sessionid, server sẽ ngầm hiểu đây là phiên truy cập của A và không tạo session id mới. Server báo lại B login successfully.

- A đi uống nước và chờ 1 thời gian để chắc mẩm B đã login, sau đó truy cập lại vào xxx.com?id=yyy.
==> Bingo... server trả lời A đã login... và được access mọi thứ dưới account của B. B không hề hay biết gì, và A chỉ bị cản lại trong trường hợp B đã logout, nhưng lúc đó thì có khi A đã làm được nhiều thứ với cái trang xxx.com rồi.

Bạn có thể đọc thêm tại link của các bạn trên đã đưa, mình cũng không biết thuật ngữ này và cũng đọc và diễn dải lại thôi.

Thân
wd.
-- w~ --
[Up] [Print Copy]
  [Programming]   Session fixation 03/05/2010 19:29:53 (+0700) | #8 | 210249
[Avatar]
learn2hack
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 16:32:37
Messages: 825
Offline
[Profile] [PM] [WWW]
Trên Wikipedia có 1 vài kịch bản mô phỏng việc mạo danh session, bạn có thể tham khảo từ những VD đơn giản nhất trở đi:

http://en.wikipedia.org/wiki/Session_fixation

Ngoài ra, có thể coi 1 video-in-action tại Youtube để xem cách họ làm mạo danh thế nào:

http://www.youtube.com/watch?v=K33U4CnucO0

Cách hướng dẫn ngăn chặn lỗi này nhờ vào generate new session id, bạn có thể tham khảo tại đây:

http://phpsec.org/projects/guide/4.html
Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|