更新: 21 个文件 - 2026-03-17 00:00:00

03-authentication/README.md

@@ -15,8 +15,9 @@
 
 - 暴力破解工具: [web-brute.py](/Users/x/websafe/03-authentication/bruteforce/tools/web-brute.py)
 - JWT 工具: [jwt-cracker.py](/Users/x/websafe/03-authentication/jwt/tools/jwt-cracker.py)
+- 会话边界工具: [session-lab.py](/Users/x/websafe/03-authentication/session/tools/session-lab.py)
 - 会话与 Token 风险案例: [福建案例总结](/Users/x/websafe/06-case-studies/fujian-gov-procurement/lessons-learned.md)
 
 ## 说明
 
-该目录聚焦“验证控制面是否存在”而不是“最大化拿下账户”。对公网授权目标的验证应优先采用小样本、低频和可审计的实验方法。
+该目录聚焦“验证控制面是否存在”而不是“最大化拿下账户”。对公网授权目标的验证应优先采用小样本、低频和可审计的实验方法，并把浏览器存储、Cookie 属性和会话固定证据回写到 run bundle。

03-authentication/session/README.md

@@ -1,5 +1,18 @@
 # 会话实验
 
-> `LAB NOTE` | `规划中`
+> `LAB ONLY` | `AUTHORIZED TARGETS ONLY`
 
-该目录预留给 Cookie 属性、会话固定、登出失效、Token 轮换与浏览器存储对照实验。当前由 [07-framework-security/frontend-js](/Users/x/websafe/07-framework-security/frontend-js/README.md) 和现有案例文档承担相关内容。
+## 范围元数据
+
+| 字段 | 内容 |
+|------|------|
+| 适用目标类型 | `lab-local`, `lab-public`, `authorized-third-party` |
+| 是否允许公网验证 | 允许，但只做 Cookie / Storage / Header 边界检查 |
+| 推荐最小化验证 | 读取响应头、Cookie 属性、DOM 中的存储 API 使用痕迹 |
+| 禁止场景 | 真实账户会话接管、窃取真实令牌、对第三方浏览器会话做持久利用 |
+
+## 当前内容
+
+- 工具: [session-lab.py](/Users/x/websafe/03-authentication/session/tools/session-lab.py)
+- 关联系统: [frameworks/README.md](/Users/x/websafe/07-framework-security/frameworks/README.md), [platforms/README.md](/Users/x/websafe/07-framework-security/platforms/README.md)
+- 修复主题: [token-cookie-storage](/Users/x/websafe/05-defense/secure-code/nodejs/token-cookie-storage.md), [proxy-trust-boundary](/Users/x/websafe/05-defense/secure-code/nodejs/proxy-trust-boundary.md)

03-authentication/session/tools/README.md

@@ -1,5 +1,22 @@
 # 会话工具说明
 
-> `LAB NOTE` | `规划中`
+> `LAB ONLY` | `AUTHORIZED TARGETS ONLY`
 
-该目录保留给浏览器存储、Cookie 属性和会话边界相关工具。当前尚未补齐具体脚本。
+## 工具
+
+- [session-lab.py](/Users/x/websafe/03-authentication/session/tools/session-lab.py)
+  - 用途: Cookie 属性、浏览器存储、可疑认证头与代理边界检查
+  - 目标范围: `lab-local`, `lab-public`, `authorized-third-party`
+  - 允许公网验证: `yes`, 但仅限只读检查
+  - 风险: 低，仅请求目标页面并提取响应头/前端存储痕迹
+  - 不适用: 未授权目标、真实账户会话接管、真实令牌收集
+
+## 示例
+
+```bash
+python3 /Users/x/websafe/03-authentication/session/tools/session-lab.py \
+  --target http://127.0.0.1:18085/ \
+  --ack-authorized \
+  --format json \
+  --evidence-dir /tmp/websafe-session-evidence
+```