从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 受影响的版本: - Apereo CAS: 6.6.x - apereo/cas: Apereo CAS - Identity & Single Sign On for all earthlings and beyond 2. 漏洞信息: - 漏洞类型:Session Token Does Not Expire After Logout - 状态:Unpatched 3. 易受攻击的端点: - 路径:/login?service= 4. 漏洞描述: - Web应用程序的认证系统存在安全漏洞,允许会话令牌在用户注销后仍然有效。这意味着,即使会话终止,用户退出系统,与用户关联的认证令牌仍然可以用于访问受保护资源。 5. PoC(Proof of Concept): - 在登录过程中,使用会话cookie执行各种请求以列出账户数据。观察到,即使用户注销,会话cookie也不会正确过期,允许账户数据访问请求仍然被执行。 6. 影响: - 会话劫持:攻击者可以利用有效的会话令牌访问账户,冒充用户。 - 未经授权访问:持久的会话令牌允许攻击者在不需要重新身份验证的情况下访问受限制区域。 - 数据暴露:敏感数据可能暴露给未经授权的用户,他们可以在注销后继续访问会话。 - 合规性问题:法规通常要求会话在注销后立即终止,未能做到这一点可能导致合规问题。 - 声誉损害:用户可能对应用程序的安全性失去信任,认为注销过程无效。 7. 缓解建议: - 会话无效化:确保会话令牌在用户注销时立即在服务器端失效,使其无法用于未来请求。 - 令牌过期和轮换:使用短生命周期的会话令牌并定期轮换,以限制令牌重用的风险。 - 二次注销验证:使用二次验证机制(例如,令牌黑名单)确保令牌在注销后无法重用。 - 自动会话超时:实现自动会话在一段时间内无活动后立即失效,以限制任何活跃会话的生命周期。 - 定期安全审计和测试:定期进行安全评估,确保会话令牌在所有用户场景下安全管理和正确过期。 这些信息详细描述了漏洞的性质、影响和缓解措施,有助于理解和解决该安全问题。