漏洞关键信息 漏洞概述 漏洞类型:Session Fixation Issue 影响产品:onebyone CMS 风险等级:Medium 漏洞详情 披露日期:2007-04-12 / 2007-04-13 是否远程可利用:Yes 漏洞详情: - Cookie变量 "PHPSESSID" 可被设置为恶意和任意值。 漏洞信息 CVSS Base Score:7.5/10 Exploit范围:Remote Impact Subscore:6.4/10 Exploitability Subscore:10/10 影响:Confidentiality/Integrity/Avaliablity: Partial 漏洞解析 绕过建议: 1. 不接受来自GET/POST变量的会话标识符。 2. 每次请求时重新生成SID。 3. 仅接受服务器生成的SID。 参考链接 Session Fixation Reference Session Fixation Project 时间线 发现日期:2007-03-29 联系厂商日期:2007-04-02 咨询发布日期:2007-04-06 其他 发现与报告者:David Vieira-Kurz