第6章
利用會話管理漏洞入侵Web及防范技術

Web開發人員要在無狀態的HTTP協議下進行狀態維持和控制用戶的一次會話需要引入其他的機制，這就是會話管理。絕大多數的網頁應用程序環境如ASP、PHP等，都提供給了開發者已經架構好的會話管理函數。由于會話管理機制所發揮的關鍵作用，它們成為針對應用程序的惡意攻擊的主要目標。

如果攻擊者能夠破壞應用程序的會話管理，他就能輕易避開其實施的驗證機制，不需要用戶證書即可偽裝成其他應用程序用戶。如果攻擊者以這種方式攻破一個管理用戶，那么他就能夠控制整個應用程序。因此如何架構和如何管理會話令牌，就成了各個網頁應用程序開發技術的相異之處，同時也成為安全焦點。

和驗證機制一樣，通常會話管理功能中也存在著大量缺陷。一方面，在最容易遭受攻擊的情況下，攻擊者只需遞增應用程序向他們發布的令牌值，就可以轉換到另一名用戶的賬戶。在這種情況下，任何人都可以訪問應用程序的全部功能。另一方面，如果應用程序受到嚴密保護，攻擊者必須付出巨大的代價，破解幾層模糊處理并實施復雜的自動攻擊，才能發現應用程序中存在的細小漏洞。

本章將分析我們在Web應用程序中發現的會話管理漏洞，還將描述應用程序為防范會話管理攻擊所應用的技術。