ESAPI之会话安全

最新推荐文章于 2024-07-05 19:37:58 发布

boloyz

最新推荐文章于 2024-07-05 19:37:58 发布

阅读量4.7k

点赞数

分类专栏： ESAPI 文章标签： ESAPI OWASP

本文链接：https://blog.csdn.net/boloyz/article/details/11714695

版权

ESAPI 专栏收录该内容

0 篇文章 0 订阅

订阅专栏

ESAPI是开源组织owasp，开放的安全开发框架，但百度、google搜索相关的技术文章很少，今天小尝试了一下，分享一下心得。

会话攻击，简单理解就是盗用窃取用户的cookie，伪装成用户，向服务器端发送请求，窃取用户私密信息。

具体如何防止会话攻击，很简单，参照《Web应用安全威胁与防治--基于OWASP TOP 10 与ESAPI》书中介绍的方法，一旦用户登录成功后，马上validate用户的会话，具体步骤如下：

用户输入用户名和密码
系统对用户进行验证通过
已有的会话信息如果仍然需要，则转移到一个临时变量中去
invalidate当前会话
创建一个新会话
把临时变量中保存的会话信息恢复到新创建的会话中去
用户使用这个新的会话登录到系统中并进行操作

贴出实例

构造一个简单登录页面

<body>
    <form action="loginServlet" method="post">
    	用户名:<input type="text" name="username" /><br/>
    	密码：<input type="password" name="password"/><br/>
    	<input type="submit" value="登录"/>
    </form>
  </body>

验证成功的页面

 <body>
    欢迎${sessionScope.username }登录
  </body>

然后是一个LoginServlet，其中DefaultHTTPUtilities是ESAPI中org.owasp.esapi.reference.DefaultHTTPUtilities类，该类的changeSessionIdentifier(request)，就是实现上述功能。

public void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		String username = request.getParameter("username");
		String password = request.getParameter("password");
		DefaultHTTPUtilities dhUtil = new DefaultHTTPUtilities();
		try {
			HttpSession session = dhUtil.changeSessionIdentifier(request);
			session.setAttribute("username", username);
			session.setAttribute("password", password);
			request.getRequestDispatcher("/index.jsp").forward(request, response);
		} catch (AuthenticationException e) {
			e.printStackTrace();
		}
	}

贴出changeSessionIdentifier(request)方法源码

public HttpSession changeSessionIdentifier(HttpServletRequest request) throws AuthenticationException {

		// get the current session
		HttpSession oldSession = request.getSession();

		// make a copy of the session content
		Map<String,Object> temp = new ConcurrentHashMap<String,Object>();
		Enumeration e = oldSession.getAttributeNames();
		while (e != null && e.hasMoreElements()) {
			String name = (String) e.nextElement();
			Object value = oldSession.getAttribute(name);
			temp.put(name, value);
		}

		// kill the old session and create a new one
		oldSession.invalidate();
		HttpSession newSession = request.getSession();
		User user = ESAPI.authenticator().getCurrentUser();
		user.addSession( newSession );
		user.removeSession( oldSession );

		// copy back the session content
      for (Map.Entry<String, Object> stringObjectEntry : temp.entrySet())
      {
         newSession.setAttribute(stringObjectEntry.getKey(), stringObjectEntry.getValue());
		}
		return newSession;
	}

这段代码应该很好理解。

boloyz

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
ESAPI之会话安全

ESAPI是开源组织owasp，开放的安全开发框架，但百度、google搜索相关的技术文章很少，今天小尝试了一下，分享一下心得。会话攻击，简单理解就是盗用窃取用户的cookie，伪装成用户，向服务器端发送请求，窃取用户私密信息。具体如何防止会话攻击，很简单，参照《Web应用安全威胁与防治--基于OWASP TOP 10 与ESAPI》书中介绍的方法，一旦用户登录成功后，马上validate
复制链接

扫一扫

专栏目录