WEB安全实战(七)会话标识未更新

最新推荐文章于 2024-03-29 12:21:58 发布
最新推荐文章于 2024-03-29 12:21:58 发布
阅读量1.7w 收藏 20
点赞数 1
分类专栏: 【Web安全】 文章标签: 安全漏洞 会话标识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happylee6688/article/details/42104375
版权
序上一篇文章中,我们讨论了关于“浏览器记住用户名和密码”的问题,至于这篇文章嘛,我想谈谈关于“会话标识”的漏洞。而且,这篇文章也是“Web安全实战”系列的最后一篇。为什么要拿到最后来说呢,其实,是之前一直困扰我的问题,这个问题曾一顿让我抓狂,n(n=3~5)多天一直没有解决,当时也是搜遍了各大网站,各大论坛,均未找到合适的解决方案。其中的过程就不再废话了,转到正题。
摘要由CSDN通过智能技术生成



上一篇文章中,我们讨论了关于“浏览器记住用户名和密码 的问题,至于这篇文章嘛,我想谈谈关于“会话标识 ”的漏洞。而且,这篇文章也是“Web安全实战”系列的最后一篇。为什么要拿到最后来说呢,其实,是之前一直困扰我的问题,这个问题曾一顿让我抓狂,n(n=3~5)多天一直没有解决,当时也是搜遍了各大网站,各大论坛,均未找到合适的解决方案。其中的过程就不再废话了,转到正题。


问题
先介绍一下问题是如何发现的,当然,这个不是我发现的,是我们测试部的童鞋发现的漏洞,然后她转交给我,让我去解决这个问题。刚开始也是一点思路都没有,然后就是一顿狂搜,后来慢慢发现,其实这个问题产生的根源,就是应用服务器(如 Tomcat)的 JSessionId 没有更新。只要使得旧的 Session 过期,重新生成新的 Session 即可。当然,这是理论上的解决方案,很想当然的。


曲折过程
有了思路之后,再想解决问题就容易了很多。于是,我就把范围固定在了如何让 Session 过期,当然,这样的解决方案网上
最低0.47元/天 解锁文章
紫竹风
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
前端cookies安全视频
12-14
在现代Web开发中,前端Cookies是用于存储用户信息和跟踪会话的重要工具。"前端cookies安全视频"聚焦于如何安全地使用这些小型文本文件,确保Web应用程序的数据安全性和用户隐私。以下是对视频内容的详细解释: 一、...
会话标识更新 java_Appscan漏洞之会话标识更新
weixin_42138703的博客
02-22 755
本次针对Appscan漏洞会话标识更新进行总结,如下:1. 会话标识更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。1.2、APPSCAN测试过程AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cooki...
WEB安全漏洞会话标识更新漏洞(.net强制更新会话标识
yinshengchen的博客
07-27 655
【代码】WEB安全漏洞会话标识更新漏洞(.net强制更新会话标识
浅谈“会话标识更新漏洞”
→_→
07-25 1486
一:漏洞名称: 会话操纵、会话标识更新 描述: 会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 检测条件: 已知Web网站地址 Web业务运行正常 Web业务存在登陆认证模块 已知正确的
安全漏洞-WEB类】会话标识更新
最新发布
03-29 395
会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。注意:这段代码需要在页面的最后部分加上才可以,否则将报错,或者可以加入到登录验证成功的代码后面。
会话标识更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
Splunk_智能运维实战(高清带详细目录书签)
04-10
《Splunk智能运维实战》共10章,第1章介绍将数据导入Splunk的基本方法;第2章介绍使用Splunk搜索数据的基本方法;第3章介绍如何创建仪表盘和数据的可视化图表;第4章介绍如何创建并修改Splunk应用程序;第5章介绍...
Java Web注册登录模板
04-26
成功后,服务器通常会返回一个会话标识(session ID),用于跟踪用户的会话状态,直到他们退出或会话超时。 5. **安全措施**: - **密码加密**:为了保护用户信息安全,密码通常不会以明文形式存储,而是使用哈希...
Net实战商用源码---ASP.NET二手中介房源信息网源码.rar
12-06
源码中可能包含了基于Forms身份验证的实现,用户登录后会获得一个会话标识,后续操作会根据此标识进行权限判断。 【CSS和JavaScript】 为了实现良好的用户体验,源码可能会结合CSS(层叠样式表)进行页面布局和...
会话标识更新 java_java或者jsp中修复会话标识更新漏洞
weixin_39884412的博客
02-13 148
appscan扫描出来的。1. 漏洞产生的原因:AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。2.AppScan中,对“会话标识更新”提供了修改建议:一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵...
Struts2解决更新会话标识
07-16
Struts2解决更新会话标识
WEB开发安全漏洞修复方案
05-22
1.1 背景 1 1.2 FSDP安全漏洞清单 1 1.3 安全漏洞修复方案 1 1.3.1 会话标识更新 1 1.3.2 登录错误消息凭证枚举 2 1.3.3 不充分帐户封锁 2 1.3.4 跨站点脚本编制 3 1.3.5 已解密的登录请求 6 1.3.6 跨站点脚本编制 9 1.3.7 通过框架钓鱼 13 1.3.8 链接注入(便于跨站请求伪造) 18 1.3.9 应用程序错误 25 1.3.10 SQL注入 29 1.3.11 发现数据库错误模式 38 1.3.12 启用了不安全的HTTP方法 48 1.3.13 发现电子邮件地址模式 50 1.3.14 HTML注释敏感信息泄露 51 1.3.15 发现内部IP泄露模式 52 1.3.16 主机允许从任何域进行flash访问 53 1.3.17 主机应用软件漏洞修复 53 1.3.18 目录列表 54 1.3.19 跨站点请求伪造 55 1.1 需要注意的问题 56
Web安全综合实践
qq_44047806的博客
06-07 647
Web安全综合实践 **1.**实验内容与环境 1.1****实验内容 基于靶场的综合训练、针对特定Web系统的综合安全测试(2选1)。靶场可以用DVWA、WebGoat或owasp juice shop(首推)。owasp juice shop的搭建方法或已搭建好的靶场: 搭建方法及玩法: http://www.freebuf.com/column/155374.html 搭建好的靶场: http://115.159.49.85:3000/#/score-board DVWA、WebGoat可以自己下载、
会话标识更新
zyx_19841210的专栏
05-25 1369
<br /><br />  Session.Abandon();<br />                HttpCookie cookie = Request.Cookies[0];<br />                cookie.Expires = DateTime.Now.AddMinutes(-1);
java web 登录后更新JSESSIONID
lisheng19870305的专栏
08-30 2945
一、方案一 登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。   javaweb程序强制更新JSESSIONID的方法 /** * 重置sessionid,原session中的数据自动转存到新session中 * @param reque...
【AppScan深入浅出】修复漏洞:会话标识更新(中危)
编程的世界
08-31 3788
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值