在this document第7页中,它描述了当用户被欺骗时可能发生的漏洞
"http://online.worldbank.dom/<script>document.cookie="sessionid=1234;domain=.worldbank.dom”;</script>.idc".(例如,它们最后还包含一个带<meta>的网址。)我注意到至少在Firefox中,这只会产生404错误。例如,http://example.iana.org/%3Cscript%3Ealert%28%27hi%27%29;%3C/script%3E.htm
我知道有javascript:“url”前缀,但旧浏览器中是否还有一个错误,以某种方式允许网址中的脚本?或者这份文件是否意味着完全不同?
另一件我不太了解的事情 - 第11页:
“注意:重要的是要意识到使用加密的 用户浏览器和目标Web服务器之间的通信 字面上对会话固定的可利用性没有影响 漏洞“。
在描述网络嗅探和注入的部分中说这是真的可以使用https ??
答案 0 :(得分:1)
会话固定的想法是攻击者不需要注意它是否是https。不需要嗅探。
通常,攻击者可以尝试通过嗅探窃取有效的会话ID,然后接管用户的会话。通过会话固定,攻击者选择会话ID,然后欺骗受害者浏览器使用该预先选择的会话ID。因此,没有必要嗤之以鼻。会话ID已经知道。
关于网址中的脚本标记,该攻击适用于某些网站,但不适用于所有网站。如果网站(如上所述)具有跨站点脚本(XSS),则攻击者可以制作具有固定攻击的URL。但是更可能的情况是注入窃取当前会话ID的脚本,但如果会话cookie是httpOnly,则这可能不起作用。在这种情况下,会话固定可能是攻击者更好的选择。