导航

2021CISP-PTE知识类:Web安全(3.7)

责编:唐丹平 2021-09-15

2021CISP-PTE(注册渗透测试工程师)考试内容以考试大纲为基础,如有考生想要参加并获得CISP-PTE认证,建议先了解考纲,下文就是小编整理的CISP-PTE知识类:Web安全(3.7),可供考生参考。

3.7 知识体:会话管理漏洞

2021cisp-pte大纲:知识体:会话管理漏洞.jpg

图 3-7:知识体:会话管理漏洞

会话管理漏洞可分为会话固定漏洞,会话劫持漏洞。

3.7.1 知识域:会话劫持

会话劫持(Session hijacking),这是一种通过获取用户 Session ID 后,使用该 Session ID 登录目标账号的攻击方法,此时攻击者实际上是使用了目标会话固定漏洞基本防御方法

知识子域:会话劫持漏的概念与原理

了解什么是会话劫持漏洞

了解会话劫持漏洞的危害

知识子域:会话劫持漏洞基本防御方法

了解 Session 机制

了解 HttpOnly 的设置方法

掌握会话劫持漏洞防御方法

3.7.2 知识域:会话固定

会话固定(Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。了解什么是会话管理漏洞,通过代码审计可以找到该漏洞并修复漏洞。

知识子域:会话固定漏洞的概念与原理

了解什么是会话固定漏洞

了解会话固定漏洞的检测方法

知识子域:会话固定漏洞基本防御方法

了解会话固定漏洞的形成的原因

了解会话固定漏洞的风险

掌握会话固定漏洞的防范方法

更多备考信息尽在希赛网CISP频道-考试辅导栏目,敬请期待……

热门:2023年CISP报名入口 2023年CISP报考指南

推荐:2023年CISP报考条件| 2023年上半年CISP考试时间

更多课程
更多真题
温馨提示:因考试政策、内容不断变化与调整,本网站提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!