shiro JSESSIONID被篡改

最新推荐文章于 2023-11-11 19:53:11 发布
最新推荐文章于 2023-11-11 19:53:11 发布
阅读量1.2k 收藏
点赞数
文章标签: java
原文链接:https://my.oschina.net/u/2527296/blog/3077507
版权 
10:53:59.494 [http-bio-8081-exec-3] DEBUG org.apache.shiro.web.servlet.SimpleCookie - Found 'JSESSIONID' cookie value [3D2FE9DFA954DD7959FCDC4EAA19ADFF]
10:53:59.798 [http-bio-8081-exec-3] DEBUG org.apache.shiro.mgt.DefaultSecurityManager - Resolved SubjectContext context session is invalid.  Ignoring and creating an anonymous (session-less) Subject instance.
org.apache.shiro.session.UnknownSessionException: There is no session with id [3D2FE9DFA954DD7959FCDC4EAA19ADFF]
	at org.apache.shiro.session.mgt.eis.AbstractSessionDAO.readSession(AbstractSessionDAO.java:170)
	at org.apache.shiro.session.mgt.DefaultSessionManager.retrieveSessionFromDataSource(DefaultSessionManager.java:236)
	at org.apache.shiro.session.mgt.DefaultSessionManager.retrieveSession(DefaultSessionManager.java:222)
	at org.apache.shiro.session.mgt.AbstractValidatingSessionManager.doGetSession(AbstractValidatingSessionManager.java:118)
	at org.apache.shiro.session.mgt.AbstractNativeSessionManager.lookupSession(AbstractNativeSessionManager.java:148)
	at org.apache.shiro.session.mgt.AbstractNativeSessionManager.getSession(AbstractNativeSessionManager.java:140)
	at org.apache.shiro.mgt.SessionsSecurityManager.getSession(SessionsSecurityManager.java:156)
	at org.apache.shiro.mgt.DefaultSecurityManager.resolveContextSession(DefaultSecurityManager.java:460)
	at org.apache.shiro.mgt.DefaultSecurityManager.resolveSession(DefaultSecurityManager.java:446)
	at org.apache.shiro.mgt.DefaultSecurityManager.createSubject(DefaultSecurityManager.java:342)
	at org.apache.shiro.subject.Subject$Builder.buildSubject(Subject.java:845)
	at org.apache.shiro.web.subject.WebSubject$Builder.buildWebSubject(WebSubject.java:148)
	at org.apache.shiro.web.servlet.AbstractShiroFilter.createSubject(AbstractShiroFilter.java:292)
	at org.apache.shiro.web.servlet.AbstractShiroFilter.doFilterInternal(AbstractShiroFilter.java:359)
	at org.apache.shiro.web.servlet.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:125)
	at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:346)
	at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:262)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:241)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:208)
	at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:197)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:241)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:208)
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:220)
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:122)
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:501)
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:171)
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:103)
	at org.apache.catalina.valves.AccessLogValve.invoke(AccessLogValve.java:950)
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:116)
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:408)
	at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1070)
	at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:611)
	at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:314)
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	at java.lang.Thread.run(Thread.java:745)

新搭建的环境,用的spring+shiro+mybatis,出现了cookie的sessionId经常被篡改,以至于出现上述错误以下是配置sessionManager的方法:

	<!-- sessionManager -->
	<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
	    <!-- 设置全局会话超时时间,默认30分钟,即如果30分钟内没有访问会话将过期;(1800000) -->  
        <property name="globalSessionTimeout" value="1800000" />  
        <!-- 是否在会话过期后会调用SessionDAO的delete方法删除会话 默认true -->  
        <property name="deleteInvalidSessions" value="true" />  
        <!-- 会话验证器调度时间 -->  
        <property name="sessionValidationInterval" value="1800000" />  
	    <property name="sessionIdCookie.path" value="/"/> 
	    <property name="sessionIdCookie.name" value="new.sessionid"/> 
	</bean>

DefaultWebSessionManager默认会使用JSESSIONID创建SimpleCookie,所以我将shiro独有的cooike的name修改为new.sessionid,这样shiro在获取sessionId的时候会根据new.sessionid去获取

   public DefaultWebSessionManager() {
        Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);
        cookie.setHttpOnly(true); //more secure, protects against XSS attacks
        this.sessionIdCookie = cookie;
        this.sessionIdCookieEnabled = true;
        this.sessionIdUrlRewritingEnabled = true;
    }

 

转载于:https://my.oschina.net/u/2527296/blog/3077507

chuti9820
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同域名下不同系统登录后导致cookie JSESSIONID被替换退出登录解决办法
12-28 1261
现象:A系统和B系统同属于一个域名下,A系统登录后,要访问B系统资源,在访问B系统资源时调用B系统登录认证,B系统登录成功,可以访问资源。但是返回到A系统发现退出登录了,感觉莫名其妙。经过一通网上查找,发现A系统和B系统的sessionid名字是一样的,采用tomcat默认名称JSESSIONID(ps:Jsessionid只是tomcat的对sessionid的叫法,其实就是sessionid;在其它的容器也许就不叫jsessionid了),所以B系统登录后串改了JSESSIONID的值,导致A系统退出登
shiro中登录的时候url地址栏带jsessionid的两种方式
m0_67390788的博客
03-28 667
1.web.xml web.xml必须为3.0版本 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://ja
关于session的不断变化问题
最新发布
qq_56533553的博客
11-11 1097
后来查资料发现确实是跨域的问题虽然localhost会被解析成127.0.0.1访问,但是还是会跨域,跨域你的域名 端口 协议变动了就是跨域。跨域让cookie无法被传递,sessionId是存储再cookie中的,所以后端每次都认为请求是新的请求没有sessionId就直接创建了。我一看项目源码,验证码生成后存储再session中了,等用户发送请求验证的时候sessionId变化了,导致通过session获取验证码是一个null。经过各种测试发现sessionId每次请求进来都是生成一个新的。
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6461
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
shiro1.7.1.zip
04-12
在使用Shiro 1.7.1时,开发者可以根据具体需求选择合适的模块进行集成,例如,Web应用可能会主要依赖`shiro-core`、`shiro-web`和`shiro-spring`,而需要进行复杂加密操作的应用可能需要`shiro-crypto-hash`和`shiro...
shiro1.5.3
05-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。你提到的 "shiro1.5.3" 是Shiro框架的一个特定版本,包含了该版本的所有核心组件和相关...
shiro1.6版本
09-07
Shiro 1.6.0 对加密模块进行了优化,提供了更好的加密算法支持,如SHA-256等现代哈希算法,这有助于提高密码存储的安全性,减少密码被破解的风险。 4. **授权与权限控制**: Shiro 提供了细粒度的权限控制,1.6...
shiro1.9.1源码及jar
08-25
目前无漏洞版本shiro1.9.1源码+jar
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1361
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
Shiro关于JSESSIONID失效报错问题
zsg88的专栏
03-24 7912
错误信息 2017-03-24 13:42:20,381 [http-bio-8090-exec-4] [org.apache.shiro.web.servlet.SimpleCookie]-[DEBUG] Found 'JSESSIONID' cookie value [7353DD0322589E2DF6C46D0B00E746A7] 2017-03-24 13:42:20,381
来谈谈网络安全,关于Session冒名顶替和cookie防篡改的问题
weixin_34122548的博客
06-27 295
做网站难免要面对安全性的问题,诸如sql注入拉,cookie冒名拉,等等,sql注入算是老生常谈,翻翻旧账有不少优秀的帖子在说明这个问题,所以我们来说说Session冒名顶替的风险以及应对的办法。首先要说Session冒名顶替,就得说说Session的原理。Session是一个在服务器端保持会话的机制,其实在Http协议里并没有规定 Session这个东西,所以他的实现方式就有点千奇百怪,不同的W...
Session惹得祸——前台修改数据后不能回显,必须要重新登录才可显示修改后的数据
Searchin_R的博客
02-27 1971
今天做项目,做个人中心的信息修改功能的时候遇到一个bug:每一次成功修改数据后数据库中的数据被成功修改,但是该页面不会回显修改后的数据,一直刷新甚至清除浏览器缓存也没有用。只有在重新登录系统的时候,才能看见修改后的数据。 后来发现了原因:我前台的数据有部分是用session获取到的,而我更新数据之后,并没有更新session,所以session还是原来的session,因此数据不会变动,在每次修...
修改session生存时间
小李同志的博客
08-02 1491
PHP 在环境配置中修改,全局永久生效 session.gc_maxlifetime = 84400//默认时间 PHP-think5.0 代码块中 临时修改 @ini_set('memory_limit', '512M'); //内存溢出设置 set_time_limit(0); //设置脚本最大执行时间 例: pub...
修改jsessionId名字
qq_28437045的博客
12-18 4868
tomcat6和tomcat7修改方法相同 在Context容器标签上增加sessionCookieName参数
HttpSessionJSESSIONID的"盗用"
ajax_yan的博客
05-30 1111
HttpSessionJSESSIONID的”盗用” 先说一下什么是HttpSession,Http协议是一种无状态的协议,当我们从客户端发起一个浏览器请求的时候,服务器端如果说需要保留我们的登录信息的话,我们就需要通过某种方式解决这个登录问题。 在B/S模式中不可能每次访问服务器都把自己的登录信息传递到服务器端,如果说我们不考虑单点登录系统和cookie没有被禁...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值