CWE-384 会话固定 类弱点 160 条 CVE 漏洞汇总,含 AI 中文分析。
CWE-384 会话固定是一种身份验证漏洞,指系统在用户认证后未销毁旧会话标识符,导致攻击者可利用预设的会话ID劫持合法会话。攻击者通常诱导受害者使用其控制的会话ID进行登录,从而窃取权限。开发者应避免此问题,需在用户成功认证或权限变更后强制生成新的会话标识符,并彻底销毁旧会话,确保会话状态与用户身份严格绑定。
private void auth(LoginContext lc, HttpSession session) throws LoginException { ... lc.login(); ... }<form method="POST" action="j_security_check"> <input type="text" name="j_username"> <input type="text" name="j_password"> </form>CWE-384(会话固定) 是常见的弱点类别,本平台收录该类弱点关联的 160 条 CVE 漏洞。