flask中的session伪造
flask中的session伪造
使用 密钥SECRET_KEY 和 经过解码原session篡改后的字典 可以重新加密生成一个session。
有一个开源脚本可以帮我们自动生成:https://github.com/noraj/flask-session-cookie-manager(kali机上已下载)
现在流行两种方式登录认证方式:Session和JWT,无论是哪种方式其原理都是保存凭证:
1.前端发起登录认证请求
2.后端登录验证通过,返回给前端一个凭证
3.前端发起新的请求时携带凭证
只不过session的重点是会在服务端存储凭证;而JWT不会在服务端存储凭证,而是会将返回的凭证根据签名和加密方式来校验其是否被篡改。
session安全问题:
flask框架的session是存储在客户端的,那么就需要解决session是否会被恶意纂改的问题,而flask通过一个secret_key,也就是密钥对数据进行签名来
防止session被纂改,在我上面写的例子就定义有密钥(app.config[‘SECRET_KEY’] = ‘tanji_is_A_boy_Yooooooooooooooooooooo!’)
flask session 伪造:
一、session的作用
由于http协议是一个无状态的协议,也就是说同一个用户第一次请求和第二次请求是完全没有关系的,但是现在的网站基本上有登录使用的功能,这就要
求必须实现有状态,而session机制实现的就是这个功能。用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它
保存了正在使用的所有用户的状态信息;这段状态信息分配了一个唯一的标识符用来标识用户的身份,将其保存在响应对象的cookie中;当第二次请求时,
解析cookie中的标识符,拿到标识符后去session找到对应的用户的信息
二、flask session的储存方式
第一种方式:直接存在客户端的cookies中
第二种方式:存储在服务端,如:redis,memcached,mysql,file,mongodb等等,存在flask-session第三方库
flask的session可以保存在客户端的cookie中,那么就会产生一定的安全问题。
三、flask的session格式
flask的session格式一般是由base64加密的Session数据(经过了json、zlib压缩处理的字符串) . 时间戳 . 签名组成的。
eyJ1c2VybmFtZSI6eyIgYiI6ImQzZDNMV1JoZEdFPSJ9fQ.Y48ncA.H99Th2w4FzzphEX8qAeiSPuUF_0
session数据 时间戳 签名
时间戳:用来告诉服务端数据最后一次更新的时间,超过31天的会话,将会过期,变为无效会话;
签名:是利用Hmac算法,将session数据和时间戳加上secret_key加密而成的,用来保证数据没有被修改。
四、flask session伪造
上面我们说到flask session是利用hmac算法将session数据,时间戳加上secert_key成的,那么我们要进行session伪造就要先得到secret_key,当我们
得到secret_key我们就可以很轻松的进行session伪造。