应用会话劫持
风险概览
风险编号:GAARM.0055
子风险:无
安全阶段:身份安全
生命周期:应用阶段
创建时间:2024.05.01
修改时间:2024.05.01
攻击概述¶
应用会话(主要指生成式对话应用中的对话历史记录)劫持风险是指攻击者利用应用程序中的漏洞,实现对合法用户会话的越权控制或者查看,从而可能访问或操作该用户的敏感信息。
攻击案例¶
| 案例 | 描述 |
|---|---|
| 案例一 | 由于Redis的bug,导致部分ChatGPT用户可以看到其他用户的对话历史,出现个人信息以及聊天记录标题的泄露 |
攻击风险¶
- 敏感数据泄露:泄露用户姓名、电子邮件、会话内容等敏感数据。
缓解措施¶
| 缓解方式 | 描述 |
|---|---|
| 安全更新与审计 | 定期更新和审计应用系统中的相关组件,以修复漏洞并增强安全性 |
| 严格的审计与测试 | 对服务器进行更改时,加强审计和测试,以避免引入新的漏洞或错误 |
| 监控和日志 | 增强监控系统以快速检测异常行为,并记录所有关键操作以便审计 |