(SAST检测规则-3)固定的 SessionID 缺陷详解漏洞类型: 会话固定攻击(Session Fixation Attack)漏洞描述: 会话固定攻击是利用服务器的会话管理机制存在漏洞,攻击者通过提前控制或预测用户的会话标识符(Session ID),当用户登录后,攻击者便能够冒充用户身份,获得未经授权的访问权限。这类攻击通常发生在 Web 应用程序使用固定的会话标识符的情况下,特别是在用户首次访问时,应用程序为每个用户创建一个匿名的会话标识符,然后在用户登录后将其提升为一个认证的会话标识符。