Member-only story
身份验证与会话管理漏洞实用指南
最常见的会话管理漏洞逐步解析
coffinxp
7 分钟阅读 · 2025年12月1日
238 10
收听 分享
点击或按回车查看全尺寸图片
引言
现代应用程序高度依赖会话、令牌和身份校验。当这些控制措施实现不当时,攻击者可以轻松绕过限制或接管账户。在本指南中,我将带你逐一检查所有与会话相关的问题,如何测试它们以及可能产生的影响。这是一种验证应用程序会话处理是否真正安全的直接方法。
1. 密码变更后旧会话未失效
描述
当用户更改密码时,所有现有的活动会话(在其他设备或浏览器上)通常应被失效。
复现步骤
- 在目标网站上创建一个账户。
- 在两个不同的浏览器(例如 Chrome 和 Firefox / 无痕模式)中登录该账户。
- 在 Chrome 中,导航至设置并更改密码。
- 密码更改成功后,转到 Firefox 窗口(其中旧会话仍然活跃)… CSD0tFqvECLokhw9aBeRqopJDR93OU7WxHE+knUD6TPtyOHWb/TMip8vqC1NoDSTPcKhoyw1ksZtK9Vs2hqkYG+jBvEiabU147wRX1yIf5r4S6zWzj/PQQih7TUzHDlrkSpospT+dp+gEV25zKrjzU648Ara3WeLfFgd0274azI=
