網站安全漏洞之SESSION防跨站攻擊獲取

這一部分內容的重中之重是session和cookie，客戶在安全使用app系統時，如何根據客戶的身份提供不同的功能和相關資料，每個人都有這樣的體驗。例如，訪問淘寶，不會把自己喜歡的商品加入別人的購物車，如何區分不同的客戶？開啟任何網站，抓住包看，cookie的欄位都存在。cookie伴隨著客戶的操作自動提交給伺服器方面，想區分認證前和認證後來到客戶方面，使用者認證成功後可以在cookie上寫上標誌，伺服器在處理請求時判斷該標誌即可。

對於標誌的設定，如果直接將客戶稱直接以明確或加密的方式放置在cookie中，如果加密方式被破解，則可能偽造客戶的身份，因此在cookie中直接插入客戶的身份資訊是不可取的。對於客戶身份的設定，還有session機制，在使用者認證成功後，將客戶的個人資訊和身份資訊寫入session，在cookie中的表現只出現sessionID，伺服器方面通過該sessionID在伺服器上找到指定的資料，敏感的資料存在於伺服器方面，sessionID的值是隨機字串，攻擊者很難推測其他使用者的sessionID，從而偽造客戶的身份。當我們安全使用xss漏洞時，我們都喜歡獲得客戶的cookie。獲得cookie後，最重要的欄位是sessionID。有了他，我們可以偽造他人的身份並獲得他人的資料。

根據會話內容，可以完成以下操作:

作業1:通過搜尋引擎，尋找可以註冊的幾個網站，burp抓住包分析註冊後的對話是如何實現的，是否用session儲存使用者資訊，token是否可以偽造，是否在cookie保留使用者資訊等。作業2:基於以前的作業，開發的登入認證頁面，認證成功後，對不同的賬戶設定不同的許可權，分別用cookie和session來顯示客戶的身份，測試不同的顯示方式可能存在的安全風險。記錄測試過程和結果、相關程式碼和設計構想形成報告，共享，共同探討。

目前對於網站和APP安全漏洞上對於獲取SESSION和COOKIES的問題比較多，很多程式設計師對一些提交功能沒有做更多的過濾，導致被插入了惡意XSS程式碼從而獲取到了後臺許可權，如果大家想要更全面的檢測安全漏洞問題的話可以像國內的網站安全公司尋求人工滲透測試服務的幫助。