Weak Session IDs(弱會話ID)
前言
我自己看了一下這個dvwa的靶場練習,以及一些資料吧。
我覺得現在安全意識的提高,很多基礎安全方面建設都提高了,像這種會話ID都有了比較安全的一個固定的模式,比如tomcat
tomcat生成的sessionid叫做jsessionid。
session在訪問tomcat服務器HttpServletRequest的getSession(true)的時候創建,tomcat的ManagerBase類提供創建sessionid的方法:隨機數+時間+jvmid;
可以看到生成模式基本都是固定好的,提供接口來調用,不需要程序員來寫
我找了下Weak Session IDs的cve發現了CVE-2010-0217,這個主要的安全原因是使用的隨機字符串太短存在爆破風險,像dvwa這麼弱的漏洞現實中是基本指望不上的
所以這裏我覺得更多的是去學習和理解一下sessionid吧
練習
Low
多抓幾次包就可以看到dvwaSession每次是遞增1的…沒什麼意思啊
這裏我瞎改了一下這個值,也看不到什麼影響啊,毫無體驗感…
Medium
這裏抓包一看dvwaSession變成了一個大數(不能算大數,這種長度爆破都防不了吧),有經驗的能立即想到時間戳吧,
轉換一下很明顯了…
High
這裏做實驗的時候不知道爲什麼卡着了,一直用的是上面的dvwaSession值…
直接看源碼
可以看到僅僅是在low的基礎上使用了MD5進行加密…很顯然還是不行的
Impossible
不可能級別使用隨機數+時間戳+固定字符串(“Impossible”)進行 sha1 運算,作爲 session Id
這裏要是知道固定字符串,和隨機數位數短,再加上知道sessionid用的sha1算法,我覺得還是可以嘗試暴力破解?
總結
感覺做這個的時候確實沒什麼意思,過於不貼合實際了,再加上體驗感幾乎爲0,所以我也沒什麼好說的了。
我覺得這種sessionid調用接口來生成基本不會有什麼太大的安全隱患吧。
參考
- [DVWA 黑客攻防演練(七)Weak Session IDs](