2021CISP-PTE（注冊滲透測試工程師）考試內容以考試大綱為基礎，如有考生想要參加并獲得CISP-PTE認證，建議先了解考綱，下文就是小編整理的CISP-PTE知識類:Web安全(3.7)，可供考生參考。

3.7 知識體：會話管理漏洞

圖 3-7：知識體：會話管理漏洞

會話管理漏洞可分為會話固定漏洞，會話劫持漏洞。

3.7.1 知識域：會話劫持

會話劫持(Session hijacking)，這是一種通過獲取用戶 Session ID 后，使用該 Session ID 登錄目標賬號的攻擊方法，此時攻擊者實際上是使用了目標會話固定漏洞基本防御方法

知識子域：會話劫持漏的概念與原理

了解什么是會話劫持漏洞

了解會話劫持漏洞的危害

知識子域：會話劫持漏洞基本防御方法

了解 Session 機制

了解 HttpOnly 的設置方法

掌握會話劫持漏洞防御方法

3.7.2 知識域：會話固定

會話固定(Session fixation)是一種誘騙受害者使用攻擊者指定的會話標識(SessionID)的攻擊手段。這是攻擊者獲取合法會話標識的最簡單的方法。會話固定也可以看成是會話劫持的一種類型，原因是會話固定的攻擊的主要目的同樣是獲得目標用戶的合法會話，不過會話固定還可以是強迫受害者使用攻擊者設定的一個有效會話，以此來獲得用戶的敏感信息。了解什么是會話管理漏洞，通過代碼審計可以找到該漏洞并修復漏洞。

知識子域：會話固定漏洞的概念與原理

了解什么是會話固定漏洞

了解會話固定漏洞的檢測方法

知識子域：會話固定漏洞基本防御方法

了解會話固定漏洞的形成的原因

了解會話固定漏洞的風險

掌握會話固定漏洞的防范方法

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導欄目，敬請期待……