认证与会话管理漏洞实战指南

分步解析最常见的会话管理漏洞

引言

现代应用程序严重依赖会话、令牌和身份验证检查。当这些控制措施实施不当时，攻击者可以轻松绕过限制或接管账户。在本指南中，我将带你逐一检查所有与会话相关的问题、如何测试它们以及它们可能造成的影响。这是确认应用程序会话处理是否真正安全的一种直接方法。

1. 更改密码后旧会话未失效

描述： 当用户更改其密码时，通常应使所有现有的活动会话（在其他设备或浏览器上）失效。

复现步骤：

1. 在目标网站上创建一个账户。
2. 在两个不同的浏览器（例如 Chrome 和 Firefox/无痕模式）上登录该账户。
3. 在 Chrome 中，导航至设置并更改你的密码。
4. 密码更改成功后，转到 Firefox 窗口（该窗口仍保持旧的会话活动状态）…