会话标识未更新问题

已于 2022-03-03 14:06:46 修改
阅读量1.7w 收藏 11
点赞数
文章标签: session servlet 服务器 jboss null web
于 2011-03-19 10:13:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yutan_313/article/details/6260573
版权

        有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。

        我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。
        我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不会改变,因为没有建立新session,原来的session也没有被销毁)。
        后来我做了如下改变。在我的登录servlet里面将用户刚进入登录页面的那个session用invalidate()销毁掉,在用户信息匹配成功后,再建立一个新session,将用户信息放到session中去。
本来以为这种做法应该可以解决问题了,但是再扫描发现问题还存在。再一查看,发现新建立的session与原来被销毁的session的id居然还是一样的。真是搞不懂了!
        系统背景:j2ee,jboss
        以下是我的登录servlet的代码:

···
HttpSession session = request.getSession(false);
System.out.println(session.getId());
if(session!=null){
  session.invalidate();
}
/***接下来是对用户进行认证的代码***/
···
···
/***用户认证代码结束***/

最低0.47元/天 解锁文章
yutan_313
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
WEB安全实战(七)会话标识更新
紫羽风的博客
12-23 1万+
序 上一篇文章中,我们讨论了关于“浏览器记住用户名和密码”的问题,至于这篇文章嘛,我想谈谈关于“会话标识”的漏洞。而且,这篇文章也是“Web安全实战”系列的最后一篇。为什么要拿到最后来说呢,其实,是之前一直困扰我的问题,这个问题曾一顿让我抓狂,n(n=3~5)多天一直没有解决,当时也是搜遍了各大网站,各大论坛,均找到合适的解决方案。其中的过程就不再废话了,转到正题。
会话标识更新 java_java或者jsp中修复会话标识更新漏洞
weixin_39884412的博客
02-13 149
appscan扫描出来的。1. 漏洞产生的原因:AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。2.AppScan中,对“会话标识更新”提供了修改建议:一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵...
[AppScan深入浅出]修复漏洞:会话标识更新
xiaomin1991222的专栏
11-27 265
会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。   解决: 在登录页面上加上一段代码: request.getSession().invalidate();//清...
会话标示更新解决方案
weixin_34259559的博客
05-07 1002
JSF项目,用appscan检测,报“会话标示更新”漏洞,漏洞详情:用户在登陆应用程序前后,其会话标识一样,进行更新,从而可以窃取或操作客户会话和Cookie,进行查看、变更用户信息及执行事务等操作。 推理: 测试结果似乎指示存在脆弱性,因为“原始请求”和“响应”中的会话标识相同。这些标志应该已在响应中更新。 JSF页面在打开时,就会生成一个sessionid,登录后的sessionid发...
WEB安全漏洞之会话标识更新漏洞(.net强制更新会话标识
yinshengchen的博客
07-27 660
【代码】WEB安全漏洞之会话标识更新漏洞(.net强制更新会话标识
Struts2解决更新会话标识
07-16
- "会话标识更新问题 - yutan_313的专栏 - 博客频道 - CSDN.NET.mht":这个文件可能包含了作者yutan_313对会话标识更新问题的详细分析和解决方案,可能包括具体的代码示例和调试步骤。 - "STRUTS2获得session和...
JS Ajax请求会话过期处理问题解决方法分析
10-15
然而,当用户长时间无操作或系统设定的会话超时后,Ajax请求可能会遇到会话过期的问题。本文将深入探讨这个问题,并提供相应的解决方案。 会话过期通常发生在用户打开网页后,一段时间没有与服务器交互,服务器为了...
微信支付获取预支付交易会话标识prepay_id完整代码
12-29
在微信支付过程中,获取预支付交易会话标识`prepay_id`是至关重要的一步,它在微信支付的流程中起到桥梁的作用,连接了商家服务端和客户端(App、H5等)的支付交互。`prepay_id`是在调用微信支付接口前必须获取的...
Java会话技术详解.pdf
06-13
Java会话技术详解 Java会话技术是指在客户端浏览器和服务端之间,通过Cookie和Session技术实现多次请求和响应的数据共享。下面是Java会话技术的详细知识点: 一、Cookie技术 Cookie是一种客户端会话管理技术,...
分布式会话跟踪系统架构设计与实践
01-27
分布式会话跟踪系统架构设计与实践是现代大型互联网企业应对复杂分布式系统监控和问题排查的重要手段。美团点评作为一家业务涵盖广泛的企业,其技术沙龙活动深入探讨了这一主题。在这个领域,美团点评内部研发的...
【AppScan深入浅出】修复漏洞:会话标识更新(中危)
编程的世界
08-31 3790
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后
关于AppScan安全检测会话标识更新
y562363753的博客
08-20 3976
会话标识更新 严重性: 中 CVSS 分数: 6.4 URL: http://119.60.12.114:18079/NXZDWRYZXJC/action/user/login 实体: login (Page) 风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务 原因: Web 应用程序编程或配置不...
浅谈“会话标识更新漏洞”
→_→
07-25 1490
一:漏洞名称: 会话操纵、会话标识更新 描述: 会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 检测条件: 已知Web网站地址 Web业务运行正常 Web业务存在登陆认证模块 已知正确的
安全测试 关于会话标识更新的解决方法
charsli的专栏
10-30 958
最近本人搭了一个框架,用IBM Rational AppScan扫描出其中的一个安全漏洞,描述如下:[1 / 2] 会话标识更新 严重性: 高 测试类型: 应用程序 有漏洞的URL: *** 修复任务: 不要接受外部创建的会话标识. [b]会话标识更新[/b] 应用程序 WASC 威胁分类 授权类型:会话定置 http://www.webappsec.org/projects...
WEB安全漏洞之会话标识更新漏洞
Agonie_25的博客
05-20 1685
漏洞说明 在用户进入登录页面,但还登录时,会产生一个session,用户输入信息,登录以后,session的id没有改变,也就是说没有建立新session,原来的session没有被销毁, 可以继续使用,黑客可利用此漏洞窃取或操纵客户会话和cookie,用于模仿合法用户,从而能够以该用户身份查看或变更用户记录以及执行事务。 简单的说,就是登录前后的JSESSIONID没有变化。 修复方案 核心思...
【安全漏洞-WEB类】会话标识更新
最新发布
03-29 396
会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。注意:这段代码需要在页面的最后部分加上才可以,否则将报错,或者可以加入到登录验证成功的代码后面。
会话标识更新的处理
lpl的博客
09-23 1251
解决一个会话标识更新的安全问题,网上的办法不尽能完全解决,最后这样搞了,记录一下。               网上看到的解法,首页加了段: //废弃登陆前的会话 if(request.getSession(false) != null){  request.getSession(false).invalidate(); } Cookie[] cookies = request
会话标识更新 java_IBM Security Appscan漏洞--会话标识更新
weixin_27153203的博客
02-22 184
可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使***能够以该用户身份查看或变更用户记录以及执行事务 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”...
会话标识更新漏洞 原理以及修复方法
it知识分享 free for nothing..
12-20 526
会话标识更新漏洞 原理以及修复方法
以表单隐藏字段的方式传递会话标志
06-08
好的,你的第一个问题是关于如何以表单隐藏字段的方式传递会话标志。这个问题涉及到Web开发中的一些技术,具体来说,可以通过在HTML表单中添加一个隐藏字段来传递会话标志。这个隐藏字段可以包含用于识别用户会话的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值