软考题库
信息安全工程师 · 高频练习

登录成功后为什么要重新生成 Session ID?

中级 单选题 第 172 题 中等 信息安全工程师会话固定Session IDWeb 安全
内容整理:软考题库编辑部 最近更新:
题目

某网站在用户登录前后使用同一个 Session ID。攻击者如果提前诱导用户使用一个已知 Session ID,用户登录成功后攻击者可能利用该会话标识访问用户账号。为降低这类风险,较合理的做法是()。

A 用户认证成功后重新生成 Session ID
B 把密码明文写入 Cookie
C 关闭所有登录日志
D 允许任意来源脚本读取会话 Cookie
题目类型:原创高频考点题 用途:用于帮助理解信息安全工程师相关考点和答案解析,不等同于官方真题。
书木兰刷题练习 适合懒人、小白的刷题通关平台
正确答案
A
答案解析

会话固定攻击的核心是攻击者让用户在登录前使用攻击者已知的会话标识,如果登录后会话标识不变,攻击者就可能复用该标识。登录成功后重新生成 Session ID,可以切断登录前会话和登录后身份之间的固定关系,是常见防护措施之一。

选项分析

A

正确。认证成功后重新生成 Session ID 可以降低会话固定风险。

B

错误。明文保存密码会造成严重泄露风险。

C

错误。登录日志有助于审计和异常排查。

D

错误。允许脚本读取会话 Cookie 会增加 XSS 窃取会话风险。

本题为什么容易错

这题容易和 XSS、CSRF 混在一起。会话固定关注的是 Session ID 在登录前后没有变化,攻击者提前固定了这个标识。

先看结论

简短答案

登录成功后为什么要重新生成 Session ID,正确答案是 A(用户认证成功后重新生成 Session ID)。会话固定攻击的核心是攻击者让用户在登录前使用攻击者已知的会话标识,如果登录后会话标识不变,攻击者就可能复用该标识。登录成功后重新生成 Session ID,可以切断登录前会话和登录后身份之间的固定关系,是常见防护措施之一。

解析

易混淆概念对比表

概念本题判断区别要点记忆提示
用户认证成功后重新生成 Session ID 本题正确答案 正确。认证成功后重新生成 Session ID 可以降低会话固定风险。 看到题干核心场景时优先联想到它
把密码明文写入 Cookie 本题干扰项 错误。明文保存密码会造成严重泄露风险。 看到该词不要急着选,先判断是否真正解决题干问题
关闭所有登录日志 本题干扰项 错误。登录日志有助于审计和异常排查。 看到该词不要急着选,先判断是否真正解决题干问题
允许任意来源脚本读取会话 Cookie 本题干扰项 错误。允许脚本读取会话 Cookie 会增加 XSS 窃取会话风险。 看到该词不要急着选,先判断是否真正解决题干问题
本题易混淆选项怎么区分
  • 把密码明文写入 Cookie:错误。明文保存密码会造成严重泄露风险。
  • 关闭所有登录日志:错误。登录日志有助于审计和异常排查。
  • 允许任意来源脚本读取会话 Cookie:错误。允许脚本读取会话 Cookie 会增加 XSS 窃取会话风险。
复习

知识点详解

Session ID是信息安全工程师考试中需要结合场景理解的考点。围绕“登录成功后为什么要重新生成 Session ID”这类题目,复习时要先看题干描述的是概念定义、适用场景、作用效果,还是与其他选项的区别。本题的题干关键词是“某网站在用户登录前后使用同一个 Session ID。攻击者如果提前诱导用户使用一个已知 Session ID,用户登录成功后攻击者可能利用该会话标识访问用户账号。为降低这类风险,较合理的做法是()”,它指向的核心答案是 A(用户认证成功后重新生成 Session ID)。

备考速记

备考速记:题干如果强调“Web 安全”中的关键目标,就先联想到 Session ID;如果选项里出现 把密码明文写入 Cookie、关闭所有登录日志、允许任意来源脚本读取会话 Cookie,不要只看名称熟悉,要判断它们是否真正对应题干场景。

Session ID 在Web 安全场景中的作用

Session ID在本题中的核心价值,是解决“某网站在用户登录前后使用同一个 Session ID。攻击者如果提前诱导用户使用一个已知 Session ID,用户登录成功后攻击者可能利用该会话标识访问用户账号。为降低这类风险,较合理的做法是()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。

拓展

同类题怎么考

  • 给出Web 安全场景,判断应该选择哪个概念、工具、协议或管理过程。
  • 考查Session ID的作用,要求从四个相近选项中找出最符合题干目标的一项。
  • 把Session ID和把密码明文写入 Cookie、关闭所有登录日志、允许任意来源脚本读取会话 Cookie放在一起考,重点看适用场景是否一致。
  • 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
Session ID 在信息安全工程师软考中的考法

软考选择题通常不会只考概念定义,还会把Session ID放到Web 安全场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。

解题思路

题干说登录前后 Session ID 不变,这就是题眼。不是所有 Cookie 都危险,危险在于身份状态提升后还沿用旧标识。老师讲 Web 安全时会让大家记一句:身份变了,会话也要跟着换。

考点定位

登录成功、权限提升等关键状态变化后,应重新生成会话标识。

易错提醒

  • 登录成功后仍沿用匿名会话 ID。
  • 只设置复杂密码,忽略会话管理。
  • 没有给会话 Cookie 设置合适的安全属性。

备考提示

  • Web 安全题可以按输入、认证、会话、授权、日志几个层次复习。
  • 看到 Session ID、登录前后不变、攻击者已知会话,优先想到会话固定。

你可能还想了解

  • 登录成功后为什么要重新生成 Session ID?
  • Session ID是什么?
  • Session ID在信息安全工程师考试中怎么考?
  • 信息安全工程师Session ID题怎么理解?
  • 登录后为什么重新生成Session ID怎么考?
  • 会话固定攻击怎么防怎么考?

本文小结

本题核心考点是Session ID在Web 安全场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(用户认证成功后重新生成 Session ID)。