Apache mod_usertrack SESSIONID可预测漏洞发布时间:2001-11-12 更新时间:2001-11-12 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 受影响系统 Apache Apache 1.3.11详细描述 Apache是流行的开放源代码HTTP服务程序,其中附带一个叫'mod_usertrack'的模块, 包含用来产生唯一标识的独立WEB会话和请求的代码。 不过其中产生的SESSION ID不是随机的,其使用客户端的IP地址,系统时间和服务器 进程ID来产生。 任何应用程序依靠这个认证模块产生的ID会会存在ID可猜测攻击。 测试代码 尚无 解决方案 尚无 相关信息 参考:http://www.idefense.com/papers.html |
