Websphere cookie/sessionid 可猜测漏洞发布时间:2001-09-20 更新时间:2001-09-20 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 受影响系统 IBM's websphere 4.0详细描述 IBM's websphere 4.0 产生sessionids并放到cookie中给用户,可以对用户 的userid和密码人证进行跟踪,并可以通过sessionid是否认证过来判断是否可以让客户访问数据。不过WEBSPHERE中的sessionid可猜测,这样可以导致攻击者不断改变sessionids并不断连接来进行暴力连接,当sessionids猜测到刚好和某个用户sessionids一样时,就可以访问该用户的数据。 测试代码 尚无 解决方案 安装eFix PQ47663V302 补丁 相关信息 Marc Heuse (marc@suse.de) |
