低权限账户通过替换掉高权限用户的 JSESSIONID 进行提权,如何进行防御呢?
yuhuan66666 · 2017-03-16 14:22:00 +08:00 · 1831 次点击这是一个创建于 2619 天前的主题,其中的信息可能已经有所发展或是发生改变。
前几天听同事讲的可以进行这种攻击来提升权限。 突然又想起这事,想了解一下这攻击方案该如何进行有效的防御呢。
[捂脸] 同事出差了。。。。
 |
1
xenme 2017-03-16 14:28:09 +08:00
这不就跟地权限账号可以通过高权限用户的账号和密码进行提权么,这怎么攻击?
|
 |
2
yuhuan66666 OP @xenme #1 sorry 用词不当 ,就是提权
|
 |
3
loading 2017-03-16 14:41:13 +08:00 via Android
难道你能拿到我浏览器存的 cookie ?
|
 |
4
zpfhbyx 2017-03-16 14:59:51 +08:00
我写 cookie 都会用 ip+ua+一些信息 绑定,换 ip 和换浏览器 cookie 都会不生效。。
|
 |
5
redtea 2017-03-16 15:00:59 +08:00  1
CSRF
|
|
6
yuhuan66666 OP @loading #3 举例子嘛 毕竟有的可以进行 XSS 跨站脚本攻击
|
|
7
yuhuan66666 OP @redtea #5 对对 就这个 谢谢!
|
 |
8
nfroot 2017-03-17 14:11:11 +08:00
|
Select Language