使用保存的會話cookie進行回放

Question

我做了一個小樣本測試，發現我測試的幾乎所有網站都受到漏洞的限制，即使我從瀏覽器註銷後，仍然可以訪問受限頁面（即需要登錄的頁面）如果我在登錄時保存cookie。

該測試非常簡單。我只是在之後重播了Fiddler 中的一個web請求，我從瀏覽器中註銷了。例如，使用outlook.com登錄後，我可以重播顯示地址簿的頁面，並仍然獲取我的聯繫人的電子郵件地址。

我可以知道行業標準是什麼嗎？因爲我有一位客戶堅持修復此漏洞，但不想增加硬件規格。

Answer 1

我不確定是否有行業標準，但有最佳做法。最好的做法是清理cookie和cookie管理。

你不應該擔心這個硬件。這是一個簡單的查找，看看一個值是否有效。如果不是，那麼會話狀態不應該復活。

同樣，我會使用HttpOnly和cookie上的一個安全標誌。這樣，它將更多地限制重放攻擊。當談到復活會話時，請確保會話文件在服務器上銷燬，而不僅僅是放棄。

遺棄的會議意味着他們可能會復活。

硬件通常不會是這個問題的問題。如果是，那麼看看你的解決方案，因爲可能有更好的方法。