会话标识未更新

最新推荐文章于 2021-02-13 06:51:32 发布
最新推荐文章于 2021-02-13 06:51:32 发布
阅读量861 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dnsservers/article/details/42921909
版权 
//进行处理会话标识未更新 


            //userUrl为登录url,若为登录url则进行会话更新
      if(RequestURL.equals(userUrl))
                  {
                      Enumeration<?> e = httpRequest.getParameterNames();
                      String attributeName;          
                      String attributeValue;
                      String [] attributeValues;
                      
                      sessionMap=new HashMap<Object,Object>();
                                           
                      while (e.hasMoreElements()) 
                      { 
                          attributeName = (String)e.nextElement();
                          attributeValue=request.getParameter(attributeName);
                          attributeValues=request.getParameterValues(attributeName);                      
                           if(attributeValues.length<=1)
                          {
                              if(!sessionMap.containsKey(attributeName))
                              {
                                  sessionMap.put(attributeName, attributeValue);
                              }
                          }
                          else
                          {
                              if(!sessionMap.containsKey(attributeName))
                              {
                                  sessionMap.put(attributeName, attributeValues);
                              }

                          }
                                                                  
                      }
                      
                      httpRequest.getSession().invalidate();                  
                      HttpSession newSession = httpRequest.getSession(true);
                      Cookie cookie = new Cookie("JSESSIONID", newSession.getId());
                      cookie.setMaxAge(-1);
                      cookie.setSecure(true);//false -> true fortify Cookie Security: Cookie not Sent Over SSL  
                      cookie.setPath(httpRequest.getContextPath());
                      
                      //重新创建session,设置登录时候login判断属性newSession
                      httpRequest.setAttribute("newSession", sessionMap);
                      httpResponse.addCookie(cookie);
                      
                  }


 

ffpositive
关注
专栏目录
WEB安全实战(七)会话标识更新
紫羽风的博客
12-23 1万+
序 上一篇文章中,我们讨论了关于“浏览器记住用户名和密码”的问题,至于这篇文章嘛,我想谈谈关于“会话标识”的漏洞。而且,这篇文章也是“Web安全实战”系列的最后一篇。为什么要拿到最后来说呢,其实,是之前一直困扰我的问题,这个问题曾一顿让我抓狂,n(n=3~5)多天一直没有解决,当时也是搜遍了各大网站,各大论坛,均找到合适的解决方案。其中的过程就不再废话了,转到正题。
会话标识更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
Struts2解决更新会话标识
07-16
Struts2解决更新会话标识
会话标识更新 java_java或者jsp中修复会话标识更新漏洞
weixin_39884412的博客
02-13 185
appscan扫描出来的。1. 漏洞产生的原因:AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。2.AppScan中,对“会话标识更新”提供了修改建议:一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵...
会话标识更新,跪求各位大佬解答,在线等,急
qq_33479534的博客
05-08 768
会话标识更新,跪求各位大佬解答 使用了shiro,各种清空session和cookie都没用,
微信支付获取预支付交易会话标识prepay_id完整代码
12-29
在微信支付过程中,获取预支付交易会话标识`prepay_id`是至关重要的一步,它在微信支付的流程中起到桥梁的作用,连接了商家服务端和客户端(App、H5等)的支付交互。`prepay_id`是在调用微信支付接口前必须获取的...
微信小程序保持session会话的方法
10-15
如果没有绑定,则创建一个新的uuid,并返回绑定的标识。 4. 如果返回绑定,小程序需要引导用户绑定信息,并将用户的信息与uuid一起发送到后端。后端验证后返回绑定成功或失败的反馈。 5. 在成功绑定后,小程序...
IBM Security Appscan漏洞--会话标识更新
YouXu
03-16 6393
可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新
会话更新
技术人生
06-27 1126
会话更新 被动心跳支持 在《中国电信BAC设备技术规范-BAC下发版090312》,针对会话更新,标准提出终端被动心跳支持需求。 标准中需求描述如下 当SIP终端注册成功后,一定时间内(建议该时间定义成3分钟),如果SIP终端与BAC(边缘接入控制设备)之间没有任何信令消息时,SIP终端应当向BAC发送Options消息。 任何情况下的事务层交互失败后,SIP终端需要
关于jsessionid
Raymond.LEE
02-17 1364
jsessionid=CA72488F94BC8A3E92FEEDA8CC736FDC       这个jsessionid是session的一个标识。       我在这里转贴jdbc老大的部分讲解       session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。       当程序需要为某个客户端的请求创建一个sessio
java或者jsp中修复会话标识更新漏洞
yangzongzhuan的专栏
01-12 2881
appscan扫描出来的。 1. 漏洞产生的原因: AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。 2. AppScan中,对“会话标识更新”提供了修改建议: 一般修订建议 始终生成新的会话,供用户成功认证时登
Session会话标识更新问题
qq_36468169的博客
07-09 2622
我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不会改变,因为没有建立新session,原来的ses...
webInspect SprinBoot2.x安全整改
u011311291的博客
12-13 4628
都是基于Springboot2.x整改 一.Insecure Transport: Weak SSL Cipher Insecure Transport: Weak SSL Cipher(11285) Insecure Transport: Weak SSL Protocol(11516) Insecure Transport: Weak SSL Protocol(11395) 需要进行两步操作:...
Tomcat使用SSL,AJAX代理中加入的SSL
Lori
06-09 141
今天公司要求把Web版客户端全部加上https,这里记录一下实现过程:   1.添加KeyPair: 在命令行模式下切换到目录%TOMCAT_HOME%,使用jdk的keytool工具, keytool -genkey -alias tomcat -keyalg RSA -keypass password -storepass password -keystore name.key...
Web应用安全————Shiro 解决会话固定漏洞
Morty的技术乐园
09-21 2833
引言 承接上一篇《Web应用安全————账号冻结与 Session 实时失效》关于 session 的学习,本篇博客聚焦如何通过 shiro 解决会话固定导致的漏洞问题。 首先,没怎么接触过应用安全方面的小伙伴可能会发起疑问 - 什么是会话固定? 简单来说,系统在登录前和登录后使用同一个 session id,就是会话固定,默认的session 管理机制都是会话固定的。会话固定可能会造成“会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值