2021CISP-PTE知識(shí)類:Web安全(3.7)

2021CISP-PTE（注冊(cè)滲透測(cè)試工程師）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISP-PTE認(rèn)證，建議先了解考綱，下文就是小編整理的CISP-PTE知識(shí)類:Web安全(3.7)，可供考生參考。

3.7 知識(shí)體：會(huì)話管理漏洞

圖 3-7：知識(shí)體：會(huì)話管理漏洞

會(huì)話管理漏洞可分為會(huì)話固定漏洞，會(huì)話劫持漏洞。

3.7.1 知識(shí)域：會(huì)話劫持

會(huì)話劫持(Session hijacking)，這是一種通過(guò)獲取用戶 Session ID 后，使用該 Session ID 登錄目標(biāo)賬號(hào)的攻擊方法，此時(shí)攻擊者實(shí)際上是使用了目標(biāo)會(huì)話固定漏洞基本防御方法

知識(shí)子域：會(huì)話劫持漏的概念與原理

了解什么是會(huì)話劫持漏洞

了解會(huì)話劫持漏洞的危害

知識(shí)子域：會(huì)話劫持漏洞基本防御方法

了解 Session 機(jī)制

了解 HttpOnly 的設(shè)置方法

掌握會(huì)話劫持漏洞防御方法

3.7.2 知識(shí)域：會(huì)話固定

會(huì)話固定(Session fixation)是一種誘騙受害者使用攻擊者指定的會(huì)話標(biāo)識(shí)(SessionID)的攻擊手段。這是攻擊者獲取合法會(huì)話標(biāo)識(shí)的最簡(jiǎn)單的方法。會(huì)話固定也可以看成是會(huì)話劫持的一種類型，原因是會(huì)話固定的攻擊的主要目的同樣是獲得目標(biāo)用戶的合法會(huì)話，不過(guò)會(huì)話固定還可以是強(qiáng)迫受害者使用攻擊者設(shè)定的一個(gè)有效會(huì)話，以此來(lái)獲得用戶的敏感信息。了解什么是會(huì)話管理漏洞，通過(guò)代碼審計(jì)可以找到該漏洞并修復(fù)漏洞。

知識(shí)子域：會(huì)話固定漏洞的概念與原理

了解什么是會(huì)話固定漏洞

了解會(huì)話固定漏洞的檢測(cè)方法

知識(shí)子域：會(huì)話固定漏洞基本防御方法

了解會(huì)話固定漏洞的形成的原因

了解會(huì)話固定漏洞的風(fēng)險(xiǎn)

掌握會(huì)話固定漏洞的防范方法

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目，敬請(qǐng)期待……