Member-only story
一份关于身份验证与会话管理漏洞的实用指南
最常见会话管理漏洞的逐步拆解
coffinxp · 7 分钟阅读 · 2025年12月1日
10
分享
点击或按回车查看全尺寸图片
引言
现代应用严重依赖会话、令牌和身份校验。当这些控制措施实现不当时,攻击者可以轻松绕过限制或接管账户。在本指南中,我将带你逐一检查所有与会话相关的问题,介绍如何测试它们以及可能产生的影响。这是一种直接验证应用程序会话处理是否真正安全的方法。
1. 密码修改后旧会话未失效
描述:
当用户更改密码时,所有现有活跃会话(在其他设备或浏览器上)通常应被失效。
复现步骤:
- 在目标网站上创建一个账户。
- 在两个不同的浏览器(例如 Chrome 和 Firefox / 无痕模式)中登录该账户。
- 在 Chrome 中,进入设置并修改密码。
- 密码修改成功后,切换到仍处于旧会话状态的 Firefox 窗口…… CSD0tFqvECLokhw9aBeRqopJDR93OU7WxHE+knUD6TPtyOHWb/TMip8vqC1NoDSTPcKhoyw1ksZtK9Vs2hqkYG+jBvEiabU147wRX1yIf5r4S6zWzj/PQQih7TUzHDlrkSpospT+dp+gEV25zKrjzU648Ara3WeLfFgd0274azI=
