Web安全之业务安全：会话劫持（Session Hijacking）攻击与防御详解

1. 问题描述

会话劫持是一种通过非法手段获取用户会话标识（如Session ID、Token），从而冒充用户身份执行未授权操作的攻击。攻击者一旦获取有效会话凭证，可直接“劫持”用户会话，绕过认证流程，访问敏感数据或执行高危操作。此类攻击常见于未正确保护会话标识的Web应用，尤其在以下场景中风险极高：

• 会话标识通过不安全的通道（如HTTP）传输；
• 会话标识未设置适当的生命周期或安全属性；
• 应用缺乏对会话的主动监控与异常检测。

2. 会话劫持的攻击原理

2.1 会话标识的获取途径

攻击者可通过多种方式窃取会话标识：

1. 网络嗅探（Sniffing）：
   • 若应用未使用HTTPS，会话标识在网络中以明文传输，攻击者可通过中间人攻击（如公共Wi-Fi）截获数据包。
2. XSS攻击注入恶意脚本：
   • 通过跨站脚本漏洞，攻击者注入JavaScript代码（如document.cookie）窃取Cookie中的会话标识。
3. 预测或爆破会话ID：
   • 若会话标识生成算法不安全（如顺序递增、熵值不足），攻击者可推测其他用户的会话ID。
4. 客户端存储泄露：
   • 会话标识存储在LocalStorage或SessionStorage中时，若存在XSS漏洞，可能被恶意脚本读取。

2.2 会话劫持的攻击流程

1. 窃取会话标识：通过上述任意方式获取有效会话凭证。
2. 冒充用户身份：将窃取的会话标识注入自己的请求（如修改Cookie或Authorization头）。
3. 访问受限资源：直接以用户身份执行操作（如转账、修改密码）。

3. 防御策略与技术实现

3.1 传输层安全：强制HTTPS

• 原理：通过TLS加密整个通信过程，防止网络嗅探。
• 实现：
  • 服务器配置HTTP严格传输安全（HSTS）头，强制浏览器使用HTTPS：

    Strict-Transport-Security: max-age=31536000; includeSubDomains  
    

  • 将会话Cookie标记为Secure，确保仅通过HTTPS传输：

    Set-Cookie: sessionId=abc123; Secure; HttpOnly  
    

3.2 会话标识安全设计

1. 使用高熵值会话ID：
   • 采用密码学安全的随机数生成器（如CSPRNG）生成足够长的会话ID（建议128位以上）。
2. 会话绑定技术：
   • 绑定用户IP或User-Agent：验证会话发起者与初始登录时的IP/UA是否一致，不一致则强制重新认证。

     # 示例：Django中间件验证IP  
     if request.session.get('login_ip') != request.META['REMOTE_ADDR']:  
         logout(request)  
     

   • 动态令牌（Token Rotation）：每次请求后更新会话标识，使窃取的旧标识失效。

3.3 客户端安全加固

1. Cookie属性设置：
   • HttpOnly：防止JavaScript读取Cookie，防御XSS窃取。
   • SameSite=Strict/Lax：阻止跨站请求伪造（CSRF）引发的会话劫持。
2. 限制会话生命周期：
   • 设置较短的会话过期时间（如15分钟），并实现自动续期机制。
   • 提供显式注销功能，服务端立即销毁会话。

3.4 服务端监控与响应

1. 异常检测：
   • 监控同一会话的IP/地理位置突变、频繁操作等异常行为。
2. 强制重新认证：
   • 对敏感操作（如支付、修改密码）要求二次认证（如短信验证码）。

4. 进阶防护：同源策略与浏览器安全机制

• Origin头验证：服务端检查请求的Origin或Referer头，拒绝跨域非法请求。
• Content Security Policy（CSP）：通过CSP头限制脚本来源，减少XSS攻击面：

  Content-Security-Policy: script-src 'self'  
  

5. 总结

会话劫持的核心在于会话标识的保护。防御需结合多层次策略：

1. 传输加密（HTTPS）确保信道安全；
2. 会话管理（动态令牌、绑定信息）提升标识安全性；
3. 客户端加固（Cookie属性、SameSite）阻断攻击途径；
4. 主动监控（异常检测）及时响应威胁。
   通过综合应用这些措施，可显著降低会话劫持风险，保障业务安全。