低权限账户通过替换掉高权限用户的 JSESSIONID 进行提权,如何进行防御呢?

2017-03-16 14:22:00 +08:00
 yuhuan66666

前几天听同事讲的可以进行这种攻击来提升权限。 突然又想起这事,想了解一下这攻击方案该如何进行有效的防御呢。

[捂脸] 同事出差了。。。。

1882 次点击
所在节点    问与答
8 条回复
xenme
2017-03-16 14:28:09 +08:00
这不就跟地权限账号可以通过高权限用户的账号和密码进行提权么,这怎么攻击?
yuhuan66666
2017-03-16 14:33:48 +08:00
@xenme #1 sorry 用词不当 ,就是提权
loading
2017-03-16 14:41:13 +08:00
难道你能拿到我浏览器存的 cookie ?
zpfhbyx
2017-03-16 14:59:51 +08:00
我写 cookie 都会用 ip+ua+一些信息 绑定,换 ip 和换浏览器 cookie 都会不生效。。
redtea
2017-03-16 15:00:59 +08:00
CSRF
yuhuan66666
2017-03-16 15:09:45 +08:00
@loading #3 举例子嘛 毕竟有的可以进行 XSS 跨站脚本攻击
yuhuan66666
2017-03-16 15:11:56 +08:00
@redtea #5 对对 就这个 谢谢!
nfroot
2017-03-17 14:11:11 +08:00
@yuhuan66666 别光想着防御,想想为什么会发生,有 XSS 就好好去防 XSS 好么。(具体自己百度吧)

你知道为什么会发生了,就知道如何解决了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/347915

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX