java web登录前后改变sessionId标示的安全性问题解决

最新推荐文章于 2022-11-03 10:40:46 发布
最新推荐文章于 2022-11-03 10:40:46 发布
阅读量3.7k 收藏 8
点赞数 2
分类专栏: Java Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bug_easy/article/details/103869177
版权

在我们打开web页面的时候,会有一个sessionId,登录之后,这个seesionId的值没变,一致存在,这种可能会变成会话固化安全漏洞,因此我们需要解决这种问题。解决方法很简单,在登录后改变这个会话的sessionId,这样这个未授权时的会话seesionId自然就失效,也不会产生固化的僵尸会话。

 一、在解决该问题之前,需要了解session会话的创建,session的创建方式主要有以下3种:

//1、这是大家最喜欢用的一种
HttpSession session = request.getSession();

//2、这种用法和1是一个效果, 获取session,如果存在则返回session,不存在则重新创建一个
HttpSession session = request.getSession(true);

//3、这种用法被很多人忽略,获取session,如果存在返回session,不存在则返回null
HttpSession session = request.getSession(false);

需要注意:request.getSession()和request.getSession(true)等效,只有当session一定存在或者sesson不存在时明确有创建session的需要,否则尽量使用request.getSession(false)。在实际的生产中,有时我们会把某些信息存在session当中,在这种场景当中,获取session的正确方法应该是:

String userName = "";
HttpSession session = request.getSession(false);
if(session != null){
    userName = (String)session.getAttribute("userName");
}

 二、如果项目中用到了Spring(其实只要是Java的稍大的项目,Spring是一个很好的选择),对session的操作就方便很多。如果需要在Session中取值,可以用WebUtils工具(org.springframework.web.util.WebUtils)的getSessionAttribute(HttpServletRequest request, String name)方法。源码如下:

/** 
 * Check the given request for a session attribute of the given name. 
 * Returns null if there is no session or if the session has no such attribute. 
 * Does not create a new session if none has existed before! 
 * @param request current HTTP request 
 * @param name the name of the session attribute 
 * @return the value of the session attribute, or <code>null</code> if not found 
 */  
public static Object getSessionAttribute(HttpServletRequest request, String name) {  
    Assert.notNull(request, "Request must not be null");  
    HttpSession session = request.getSession(false);  
    return (session != null ? session.getAttribute(name) : null);  
}

自己使用在项目中直接使用:

String userName = WebUtils.getSessionAttribute(reqeust, "userName");

三、web登陆前后改变sessionId标识

上面介绍了这么多,现在进入问题主题,登录前和登录后sessionId的更换。直接上代码,一目了然:

//先验证登录成功之后再进行更换sessionId

HttpSession oldSession = request.getSession(false);
if(oldSession != null){
    oldSession.invalidate();  //废除掉登陆前的session
}
request.getSession(true);  //重新生成一个session,此时,登录前和登录后的sessionId就不一致了

//如果登录前session中的内容需要保留至整个项目,可以在这里将原来session中的内容重新拷贝到新的session中
//TODO

此时,再去查看登陆前和登陆后sessionId,发现已经更改,问题解决。

bug_easy
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
会话标识未更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以的那个session(事实上session也确实不
安全测试知识
m0_51482664的博客
05-21 135
测试用例评审记录 测试人员 需求名称 用例数 测试要点 疑问点 解决方案 Appcsan WASC威胁分类(中文)安全风险 URL 当级别(High/ Medium/Low/Info)原始级别 bug一般会进行分类(日志伪造攻击数量X个,上传下载攻击 X个,XML注入攻击X个,其他 bug x个) 一、认证会话 系统应支持“限制或禁止同一用户同时建立多个会话”的功能若同一账号的第二次登录建立会话,系统可以注销一次的会话或者拒绝当登录并给出账号已登录的提示。若系统因业务需求需要支持同一账号同一时刻多处
后端交互时后台SessionId一直改变问题解决
weixin_44269614的博客
07-09 2110
** 问题 **: 在做后端项目的时候,用户登录之后将用户相关信息存入Session,但是登录成功之后端访问其他接口时,发现获取不到存入Session中的值, ** 解决方案 **: 之的代码中获取Session中的值的代码 String userId = (String)request.getSession().getAttribute("userId"); 问题就出在这个request.getSession(), 这个方法是每次都会new一个新的Session,所以导致SessionId每次都会
记一次sessionId登陆后变化问题
weixin_43275523的博客
11-03 396
由于是偶发情况,查找特别麻烦,经过一天的查找问题,终于定位到问题了,登陆页面有好几个字体路径是404,把样式内的字体删掉问题解决了。系统用的spring+shiro+mybatis,偶尔登陆之后要么闪退,要么进去首页后又跳转到登陆页。
spring security登录sessionId不一致
fggdgh的博客
04-07 1663
spring security为了防止固定回话攻击会一直修改sessionId,所以在登录存在session里的数据在登录后是获取不到的。为了解决这种情况可以监听session的变化做相应的更改。 @WebListener public class SessionListener implements HttpSessionListener, HttpSessionIdListener { @Override public void sessionCreated(HttpSession
[Session]session变化,后不一致
jameskaron的专栏
03-27 664
html访问时sessionid变,登录成功后,再请求后端接口,返回未登录发现session id 变了...
weixin_42353715的博客
06-30 449
我最开始请求登录接口,登录成功后,再请求数据接口,返回未登录。于是我把登录接口跟数据接口脱离项目,放一个单独的html文件中,然后测试发现请求是成功的,session id是一致的;然后项目中的数据接口也能请求成功了,但等登录时效一过,项目中的数据接口又返回未登录了;只要我把单独的html(包含登录接口与数据接口)刷新,项目中的数据接口就能请求成功后台是java我在网上查了很多资料,基本上与我的情...
Java Web基于Session的登录实现方法
09-03
Java Web开发中,Session是一种常用的技术,用于在客户端和服务器之间保持状态。本文将深入讲解基于Session的登录实现方法,以及涉及到的Java相关操作,如表单提交、验证和Session管理。 首先,我们来看一下`...
浅谈运用Java Web解决用户登录的安全问题.pdf
最新发布
01-01
浅谈运用Java Web解决用户登录的安全问题 在开发项目时,系统的安全问题是必须要考虑的。在 Java Web 中,运用 JSP 和 Servlet 技术可以很好的解决用户登录系统的身份验证和授权的安全问题。 1. 用户登录系统的...
Java Web开发防止多用户重复登录的完美解决方案
09-01
Java Web开发中,防止多用户重复登录是一个重要...总之,通过在`application`作用域中管理登录信息并结合`session`监听器,可以有效地实现Java Web应用程序中防止多用户重复登录的功能,提高系统的安全性和用户体验。
解决java后台登录后cookie不一致问题
08-31
然而,有时会出现“登录后Cookie不一致”的问题,这可能会影响用户体验或引发安全性问题。本文将探讨这个问题的原因以及两种可能的解决方案。 **问题分析** 登录后Cookie不一致的问题可能由以下几个原因引起:...
微信小程序sessionid不一致问题解决
01-20
问题在于,微信小程序在每次请求时可能产生新的`sessionID`,如果后两次请求的`sessionID`不同,服务器就无法正确识别用户会话,导致登录状态失效。为了解决这个问题,我们可以按照以下步骤操作: 1. **登录时...
HTTP协议分析——状态与会话
携秋水揽星河的博客
06-18 1488
会话与会话状态简介 WEB应用中的会话是指一个客户端浏览器与WEB服务器之间连续发生的一系列请求和响应的过程。 WEB应用的会话状态是指WEB服务器与浏览器在会话过程中产生的状态信息,借助会话状态,WEB服务器能把属于同一会话中的一系列请求和响应过程关联起来。 如何实现有状态的会话 HTTP协议是一种无状态的协议,WEB服务器本身不能识别哪些请求是同一个浏览器发出的,浏览器的每一次请求都是完...
Generating a new ASP.NET session in the current HTTPContext
weixin_34129696的博客
12-01 90
void regenerateId() { System.Web.SessionState.SessionIDManager manager = new System.Web.SessionState.SessionIDManager(); string oldId = manager.GetSessionID(Context); string newId = ...
JavaWeb中Session一直改变的一个原因
晓寒轻的博客
11-11 7413
JavaWeb项目的时候,session总是出问题登录进去之后,在后台把用户名存入session,然后跳转到另一个页面,在这个页面的session还是没问题的,但是从这个页面再次跳转到其他页面或者其他的Servlet或者Action,session就会消失,也可以说重置,查看session id 的话会发现,session id 一直在变
刷新下页面SessionID 为何变了呢?
zanhai的专栏
05-28 4047
最新一个后端分离的项目,出现了一个奇怪的现象。 通过API接口实现后端分离的项目,请求session ID 刷新就会改变,造成不断生成新的SESSION文件 1、$.ajax解决方案: 设置: xhrFields: { withCredentials: true } $.ajax({ url:api+'user/islogin', xhrFields: { withCredentials: true }, data:postdata, ......
为什么我的sessionid会变
traceofsun的专栏
04-09 9799
<br />近日做了下个跨平台的整合,通过servlet来实现的各平台间进行登录时的密码校验,如在主应用中做了以下设置:<br />在登录完成后,向session中置了一个属性值。<br />在其它的servlet做登录校验时,调取了session中的内容,然后判断这个session中的内容是否是正确的。<br />结果遇到这了样的问题,在servlet取session时,发现在session id变了?<br /> <br />这个问题困扰了我近两天,结果才发现,通过http://localhost:88
JavaWeb的学习--使用jsp+dao完成注册功能 并且完成增删改查的操作 完善登录功能 登录失败后的提示 登录成功后保存的登录信息 session会话得到使用。
Ysuhang的博客
05-13 1121
JavaWeb的学习--使用jsp+dao完成注册功能 并且完成增删改查的操作 完善登录功能 登录失败后的提示 登录成功后保存的登录信息 session会话得到使用。
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6437
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
Java-Web-高级应用PPT课件.ppt
11-23
非对称加密虽然速度较慢,但因其安全性高,常用于公钥/私钥对的交互,例如数字签名。数字签名确保了数据未被篡改且来自可靠来源,而数字证书则解决了身份验证的问题,通过权威机构颁发的证书来确认发送者的身份。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值