該標籤下有 1 篇文章
工作階段固定是攻擊者預先準備一個已知的 session ID 讓受害者使用,待其登入後用該 ID 冒充受害者的攻擊。關鍵防禦是『每次登入(以及權限變化)時都重新產生 session ID』。禁止從 URL 接收 ID,並用 HttpOnly/Secure/SameSite 加固 Cookie。