不安全的会话固定（Session Fixation）漏洞与防护

1. 漏洞描述

会话固定（Session Fixation）是一种会话管理漏洞，攻击者通过强制用户使用一个已知的会话标识符（如Session ID）来劫持用户会话。具体流程如下：

1. 攻击者先获取一个有效的会话ID（例如通过正常访问网站）。
2. 诱骗用户使用这个会话ID登录系统（例如通过恶意链接包含固定ID）。
3. 用户登录后，会话ID未变更，攻击者即可利用已知ID冒充用户身份。

2. 漏洞原理详解

2.1 会话管理机制

• 用户访问网站时，服务端生成会话ID并存储在Cookie或URL参数中。
• 登录后，服务端应重新生成会话ID以标识新授权状态。若未重新生成，则会话ID保持固定。

2.2 攻击场景举例

假设网站登录流程存在以下缺陷：

# 攻击者获取会话ID并构造恶意链接：
https://example.com/login?sessionid=ATTACKER_SESSION_ID
# 用户点击链接并登录，服务端未更新会话ID，攻击者可直接用ATTACKER_SESSION_ID访问用户账户。

3. 漏洞触发条件

1. 应用允许用户使用预先设定的会话ID登录。
2. 登录前后会话ID保持不变。
3. 会话ID可通过URL参数、Cookie或隐藏表单字段传递。

4. 防护措施

4.1 登录后重新生成会话ID

• 用户认证成功后，服务端应立即使原会话失效并生成新会话ID。
  示例代码（Python/Flask）：

from flask import session, redirect
@app.route('/login', methods=['POST'])
def login():
    # 验证用户凭证后
    session.clear()  # 清除原会话数据
    session.regenerate()  # 重新生成会话ID
    session['user_id'] = user.id  # 设置新会话数据
    return redirect('/dashboard')

4.2 禁止URL传递会话ID

• 仅使用HTTP Cookie传递会话ID，避免通过URL参数暴露（如?sessionid=xxx）。
• 配置Web服务器禁用URL会话标识符（如PHP中设置session.use_only_cookies=On）。

4.3 会话绑定用户信息

• 会话ID与用户IP、User-Agent等特征绑定，异常访问时强制重新认证。
  示例验证逻辑：

def validate_session(request):
    if session.get('ip') != request.remote_addr:
        session.invalidate()  # 终止会话
        return redirect('/login')

4.4 设置会话过期时间

• 会话应设置较短的有效期（如15-30分钟），并实现自动过期机制。

5. 进阶防护：多层防御

1. 强制HTTPS：防止会话ID被中间人窃取。
2. SameSite Cookie属性：设置SameSite=Strict防止CSRF攻击与会话固定结合。
3. 日志监控：记录异常会话使用行为（如IP频繁变更）。

6. 测试方法

• 使用代理工具（如Burp Suite）捕获登录请求，检查登录前后Cookie中的会话ID是否变化。
• 尝试通过URL参数强制指定会话ID，验证应用是否拒绝。

7. 总结

会话固定漏洞的根源在于会话生命周期管理不当。核心防护原则是：认证成功后立即废弃旧会话，创建新会话，并结合绑定用户特征、限制传输方式等措施形成纵深防御。