（SAST检测规则-3）固定的 SessionID 缺陷详解

漏洞类型： 会话固定攻击（Session Fixation Attack）

漏洞描述： 会话固定攻击是利用服务器的会话管理机制存在漏洞，攻击者通过提前控制或预测用户的会话标识符（Session ID），当用户登录后，攻击者便能够冒充用户身份，获得未经授权的访问权限。这类攻击通常发生在 Web 应用程序使用固定的会话标识符的情况下，特别是在用户首次访问时，应用程序为每个用户创建一个匿名的会话标识符，然后在用户登录后将其提升为一个认证的会话标识符。

攻击过程：

用户在首次访问时，应用程序为每个用户创建一个匿名的会话标识符（Session ID）。此时，Session ID 不具备任何实际的访问权限。
用户进行登录时，应用程序验证用户的身份，并将其会话标识符升级为一个通过验证的会话 ID，这时 Session ID 获得了用户的访问权限。
如果攻击者能够控制或预先获取该 Session ID（如通过诱导用户访问特制的恶意链接），攻击者便可以使用这个 Session ID 来冒充用户，从而执行未授权的操作。

漏洞影响：

信息泄露： 攻击者通过伪造用户的会话标识符，可以访问用户的私人数据和敏感信息。
身份冒充： 攻击者冒充合法用户进行非法操作，可能导致系统的数据篡改、权限滥用或其他恶意行为。

漏洞出现的典型场景：

未重置会话标识符： Web 应用程序在用户登录后未及时重置会话标识符，导致登录前后的 Session ID 相同。
攻击者控制 Session ID： 攻击者通过某些手段提前获得用户的会话标识符（例如，通过钓鱼攻击或其他方式），在用户登录时，攻击者就能利用该 Session ID 进行身份冒充。

缓解和预防措施：

重新生成会话标识符： 用户登录成功后，必须强制重新生成一个新的会话标识符，并销毁旧的会话标识符。这样可以有效防止攻击者利用旧的会话标识符进行身份冒充。
不可预测的 Session ID： 会话标识符应当具有足够的随机性和不可预测性，避免攻击者通过暴力猜解、预测等方式获取有效的会话标识符。
销毁旧会话： 登录后，确保旧的会话标识符无效，从而确保攻击者无法劫持已认证的会话。

漏洞代码示例：

错误代码：

在以下代码段中，程序未在用户登录后重置会话标识符（Session ID）：

// 错误示例：登录过程中会话标识符未改变，导致会话固定漏洞

// 获取用户名

String username = request.getParameter("username");

// 获取用户密码

String password = request.getParameter("password");

// 验证用户账号和密码

if (validateCredentials(username, password)) {

// 登录成功后进入用户主页，使用的是未更新的 SessionID

// 此时会话标识符未更新，攻击者可以利用已知的 Session ID 伪装成用户

response.sendRedirect("/userHomePage");

}

缺陷描述：

问题： 在登录前后，会话标识符没有被处理，登录前后的 Session ID 是相同的。
攻击路径： 攻击者可以通过向用户发送恶意链接，诱使用户访问该链接，从而获取该用户的 Session ID。一旦用户登录并验证通过，攻击者便能伪装成该用户，访问该用户的私人数据和执行未授权操作。

建议修复：

在用户成功登录后，销毁当前会话标识符，并生成一个新的会话标识符。
强制更新 Session ID，以避免会话固定漏洞。

修复代码：

// 修复代码：在用户登录后重新生成会话标识符

// 销毁旧的 Session ID

session.invalidate();

// 生成新的会话标识符

session = request.getSession(true); // true 表示创建一个新的会话

// 登录成功后，重定向到用户主页

response.sendRedirect("/userHomePage");

解释： 通过在用户登录后销毁旧的 Session ID，并使用 getSession(true) 生成一个新的会话标识符，可以有效防止会话固定攻击。此举确保了攻击者无法利用旧的会话标识符伪装成合法用户。

总结

会话固定攻击是一种危险的安全漏洞，攻击者通过控制或固定用户的会话标识符来冒充合法用户。为防止此类攻击，开发者应确保在用户登录成功后重置会话标识符，并销毁旧的会话标识符。此外，使用不可预测的、具有足够随机性的会话标识符是保护 Web 应用免受会话固定攻击的关键措施。通过这些安全措施，能够有效提高应用的安全性，避免信息泄露和身份冒充等风险。

工作：SAST工具推介、评测、代码审计、培训资料、应用安全咨询、SAST检测规则、安全漏洞数据处理、许可证数据处理、组件数据处理等。