SpringSecurity如何防御会话固定攻击

最新推荐文章于 2024-05-27 08:46:57 发布
最新推荐文章于 2024-05-27 08:46:57 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: springsecurity 文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITWANGBOIT/article/details/109318268
版权

前提

会话固定攻击就是因为会话不变,给了黑客可乘之机;黑客将自己访问系统时的JSESSIONID发给系统用户,让系统用户“被迫”使用该JSESSIONID来访问系统,如果用户在JSESSIONID的有效期内登录了系统,就会使对应的session变为认证通过的session,从而黑客再次访问系统时,也会被系统当成认证通过的用户。

注意有两个要点:

1:系统用户带着黑客发给自己的JSESSIONID访问系统;(可以将JSESSIONID放入请求头中,也可以将JSESSIONID拼接在url的后面)

2:登录前后会话不变;(匿名访问系统和认证通过访问系统时,使用的是同一个JSESSIONID(也是同一个session))

SpringSecurity对会话固定攻击的防御主要体现在以下两个方面

1、限制访问系统时,带JSESSIONID的方式

SpringSecurity中的HTTP防火墙StrictHttpFirewall,会拒绝请求地址中带有“;”的请求;这样以来,就阻止了黑客将JSESSIONID拼接在url的后面来进行会话固定攻击;但是黑客将JSESSIONID放入请求头中来进行会话固定攻击时,还是防御不了,这就需要使用下面介绍的防御方式了。

2、既然会话不变是造成会话固定攻击的本质,那么就让会话变一下

image.png

 

通过上图可以看到,在这里,springsecurity有四个选项:

  • migrateSession: 表示在登录成功之后,创建一个新的会话,然后将旧的 session 中的信息复制到新的 session 中,「默认即此」
  • none: 表示不做任何事情,在登录成功之后,继续使用旧的 session。【这种情况下,会话是不变的,无法防御会话固定攻击】
  • changeSessionId:表示在登录成功之后,session 不变,但是会修改 sessionid,这样以来黑客手里的sessionid在服务器中就找不到对应的session了,也相当于改变了session;这实际上用到了 Servlet 容器提供的防御会话固定攻击。
  • newSession 表示在登录成功之后,创建一个新的 session。

结论

综合以上,我们就了解了SpringSecurity对防御会话固定攻击所做的工作;默认情况下,对于防御会话固定攻击,我们什么都不用做,springsecurity已经为我们做好了。

coding的大博哥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-Security:安全攻击对策
05-13
会话管理功能:保护用户免受会话劫持或会话固定攻击控制会话的生命周期(创建,破坏,超时)。 CSRF预防功能:保护用户免受跨站请求伪造(CSRF)攻击。 具有浏览器安全功能的链接功能:在攻击中滥用了与浏览器安全...
使用Spring security,遇到从HTTPS页面重定向到HTTP页面时会丢失JSESSIONID的问题
Libresoft实验室
12-11 4751
问题重现: 1、  直接输入登录页面地址 https://127.0.0.1/xxxx/login.do 2、  填写用户信息点登陆 3、  页面跳转到欢迎页面http://127.0.0.1/xxxx/welcome.do 4、  此时springsecurity 会提示session是null,并且跳回登录页面。   原因: Tomcat下 HTTPS生产的COOKIE  JSE
会话固定攻击(session fixation attack)及解决办法
半夏_2021的博客
04-29 9979
会话固定攻击(session fixation attack)及解决办法
防范会话固定攻击
最新发布
常备不懈
05-27 617
会话固定攻击是一种通过控制会话ID来劫持用户会话攻击方式。攻击者首先获得一个有效的会话ID,并在用户登录之前或登录过程中强制用户使用该会话ID。这样,当用户使用这个会话ID登录后,攻击者可以通过已知的会话ID访问用户的会话,从而获取敏感信息或进行恶意操作。
Spring Securtity (九)会话固定攻击和跨站请求伪造
weixin_43189971的博客
07-20 716
1.会话固定攻击概念 2.跨站请求伪造概念 2.1.csrf令牌 2.2.js在其中做了什么
SpringSecurity-10-Session会话管理
zhoubangbang1的博客
03-29 1884
SpringSecurity-10-Session会话管理理解Session Http协议是一种无状态协议所以当服务端需要记录用户的状态时,需要某种机制用于识别用户,这个机制就是Session。服务器通过和用户约定每一个请求携带一个id信息,用于统一用户的请求有了管理,并且区分不同用户。基于session方案,为让用户请求都携带同一个id,并且不妨碍用户体验的情况下,选择cookie作为载体是一个不错的选择,用户第一次访问服务器的时候,没有携带id,服务器端会生成sessionid:session键值对,并
Spring Security如何防止会话固定攻击
allway2的博客
11-18 638
会话固定是一种非常常见且最常见的攻击类型,恶意攻击者可以通过访问站点来创建会话,然后诱使其他用户使用相同的会话登录(例如,通过向他们发送包含会话标识符作为参数的链接)。如果应用程序仅允许应用程序生成的会话 ID,它将添加一个步骤,供攻击者从应用程序获取有效的会话 ID,然后才能诱骗受害者使用其会话 ID 登录。检查用户是否经过新身份验证,如果经过身份验证,它将把工作移交给 the,以确定如何处理会话(例如,应该迁移或创建新会话。有许多应用程序不仅可以接受会话 ID,还可以接受客户端提供的任何其他 ID。
SpringSecurity应用
08-18
通过调整配置,你可以防止会话劫持或会话固定攻击。 **9. 防止CSRF攻击** 跨站请求伪造(CSRF)是一种常见的网络攻击方式。Spring Security 默认启用 CSRF 保护,你可以通过配置关闭或调整策略。 **10. OAuth2 ...
Spring Security模块
09-03
6. **会话管理**:Spring Security 还可以管理会话,例如设置会话超时、防止会话固定攻击等。 7. **响应处理**:如果请求被允许,应用将处理请求;否则,Spring Security 将返回相应的错误页面或重定向至登录页面。...
springsecurity
07-23
7. **Session Management**:Spring Security提供会话管理功能,包括会话固定保护(防止会话劫持)和会话超时设置。 8. **CSRF Protection**:为了防止跨站请求伪造攻击,Spring Security 提供了内置的CSRF令牌管理...
spring security 官方文档
10-08
4. **会话管理(Session Management)**:Spring Security提供了强大的会话管理功能,可以限制同一用户同时在线的数量,检测会话劫持和会话固定攻击,并能实现会话超时策略。 5. **CSRF保护(Cross-Site Request ...
SpringSecurity根据sessionid获取用户信息
qq_41831534的博客
06-07 1611
SpringSecurity根据sessionid获取用户信息
什么是会话固定攻击?Spring Boot 中要如何防御会话固定攻击
江南一点雨的专栏
05-14 3916
前两天和大家聊了 Spring Security 中的 session 并发问题,和小伙伴们聊了如何像 QQ 一样,用户在一台设备上登录成功之后,就会自动踢掉另一台设备上的登录。 当然,Spring Security 中,关于 session 的功能不仅仅是这些,之前和大家说我们学习 Spring Security,也是学习各种各样的网络攻击防御策略,今天松哥就来和大家聊一个简单的:什么是会话固定攻击以及 Spring Security 中如何防止会话固定攻击。 本文是 Spring Security 系
什么是会话劫持攻击以及如何防止会话劫持
allway2的博客
08-02 3991
会话固定是通过从各种来源识别会话ID进入用户计算机的最常见方式,例如在URL参数中找到会话ID,隐藏在表单中,保存在cookie中。这基本上取决于他们,他们可以将钱从受害者的账户转移到另一个版本,从众多的网上商店购物,窃取受害者的所有重要和秘密信息,等等。今天,会话ID是随机生成的,为用户提供了高度的安全性。攻击者将在不可见的情况下执行他们的活动,因此不会有迹象表明他们的计算机被操纵。此外,用户的计算机将从网站的安全层传递,这使得攻击者很容易渗透服务器并请求所需的数据。...
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4058
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
安全过滤器链
godslife_yeah_net的专栏
03-19 969
Spring Security的web架构是完全基于标准的servlet过滤器的。 它没有在内部使用servlet或任何其他基于servlet的框架(比如spring mvc), 所以它没有与任何特定的web技术强行关联。 它只管处理HttpServletRequest 和HttpServletResponse,不关心请求时来自浏览器,web服务客户端,HttpInvoker还是一个AJAX应用。
jsessionid
思路决定出路
07-22 828
在服务器端,我们用惯了session.setAttribute("",userInfo)这样的一行代码,估计你很少想到:服务器与浏览器之间是如何保持会话状态的。好了,先引用一些文章的精彩片段:http://www.xxx.com /xxx_app;jsessionid=xxxxxxxxxx?a=x&b=x。 这跟一般的url基本一样,只有一个地方有区别,那就是“;jessionid=xxxx
(八)Spring Security 防止用户重复登录
惜阳
07-18 4280
目录 我们接着上一章(七)Spring Security基于ajax登录,进行开发 本篇介绍如何实现一个用户只允许同时在一个地点登录 基本配置 踢掉之前的登陆protected void configure(HttpSecurity http) throws Exception { http.sessionManagement() .maximumSessions(1).expire...
springsecurity会话管理
08-26
3. 会话固定:可以配置会话是否被固定,即每次用户登录成功后生成新的会话标识,防止会话劫持攻击。 4. 注销处理:可以配置用户注销操作的逻辑,比如清除会话信息并重定向到登录页面。 你可以通过在 Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值