php - SESSION固定攻击的前提？

Question

攻击者提供一个包含已知会话ID的链接例如：<a href='login.php?PHPSESSID=1234'>点击</a>，来诱使受害人点击这个链接，用户点击链接后可能会进行一系列操作，然后攻击者再使用这个会话ID登陆网站，从而劫持用户的会话，造成SESSION固定攻击。
但是一般php的设置session.use_cookies和session.use_only_cookies都为1，也就是攻击者不能通过url传递会话ID的方式劫持SESSION，在这种情况下，还有可能造成SESSION固定攻击吗？

Answer 1

可以自己重写session，方便对各种规则进行设定校验。

Answer 2

难道不校验IP和安全HASH的么

假设当前用户的实际SESSION PrimaryKey为hash(ip+uid)。则$_SESSION[md5(ip.uid)]['login']

Answer 3

首先分析下Session固定攻击产生的根本原因：

1. 攻击者成功获取到了一个固定的sessionID；

2. 攻击者使用某些方法让被攻击者以获取到的已知sessionID作为被攻击者的sessionID请求了服务端并执行授权操作；

3. 攻击者以获取到的session ID请求服务端以获得和被攻击者相同的授权。

这里的重点在于“2”，（在服务端支持GET session的情况下）通过一个URL诱使被攻击者点击是最直接的方式，但最终目的是让被攻击者“携带已知sessionID”请求服务端，开启session.use_only_cookies的情况下还是保留了使用cookie“携带已知sessionID”请求服务端的方式，这种情况下攻击者只需要“使用某些方法”（比如XSS）修改cookie值为已知sessionID就能达到相同效果。最终的防御方式还是应该在每次授权改变后重新分配sessionID。
答案参考：https://www.douban.com/note/299072454/

Answer 4

有可能的。

常见的会话管理机制，一般使用 cookie 来保存会话 ID。为了照顾到不能使用 cookie 的情况，PHP、Java 等都提供了将会话 ID 嵌入 URL 的功能。

根据会话 ID 位置的不同，会话固定攻击手段也不同：

• URL 里：伪造 URL，如题主所说

• Cookie 里：修改 cookie

结合一些其它的漏洞就可以修改用户的 cookie，例如：

• XSS

• HTTP 消息头注入

• 等其它导致 cookie 被篡改的漏洞

可以看下《Web 应用安全权威指南》，很好地一本书。