WEB安全漏洞之会话标识未更新漏洞

漏洞说明

在用户进入登录页面,但还未登录时,会产生一个session,用户输入信息,登录以后,session的id没有改变,也就是说没有建立新session,原来的session没有被销毁, 可以继续使用,黑客可利用此漏洞窃取或操纵客户会话和cookie,用于模仿合法用户,从而能够以该用户身份查看或变更用户记录以及执行事务。

简单的说,就是登录前后的JSESSIONID没有变化。

修复方案

核心思想就是:登录成功后始终生成新的会话。在登陆界面后增加下面一段代码,强制让系统session过期。

	request.getSession().invalidate();//清空session 
    Cookie cookie = request.getCookies()[0];//获取cookie 
    cookie.setMaxAge(0);//让cookie过期 ;

注意这段话要放在登录页面(例如index.jsp)的最后面,否则将会报错。另外需要注意的是,重启浏览器后首次访问门户的时候是没有cookie的,所以要进行判断,避免空指针异常。在项目中具体使用如下,如在index.jsp的最后面:

<%
	if (登录错误码不为空) {
		//给出登录错误提示
	}
	else {
		//登陆成功,使Cookie更新,注意重启浏览器后首次访问门户还没有cookie
		session.invalidate();  
		if(request.getCookies()!=null && request.getCookies().length > 0) {
			Cookie cookie = request.getCookies()[0];
			cookie.setMaxAge(0);
		}
	}
%>
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值