回话固定

原理： 用户重新登录后网站没有更新cookie就会产生回话固定漏洞，攻击者可以利用该漏洞发起会话劫持

 

场景：由于HTTP的无状态性，导致网站必须使用会话机制来识别用户，如果用户没登录时的会话ID和登录后的会话ID保持一致，那么攻击者可以迫使受害者使用一个已知(有效)的会话ID，当受害者通过身份验证，攻击者就可以利用这个会话ID进入验证后的会话（登录状态）。 就是可以登陆其他用户的账号

 

测试方法：登录前和登录后的会话ID是否一致，用 F12，抓包 都行

 

 

 

 

 

 

 

 

 

修复方案：成功登陆后，先让登陆前的会话ID失效，然后提供一个新的会话ID给用户。