伪造servlet容器会话机制

最新推荐文章于 2022-11-26 02:04:36 发布
最新推荐文章于 2022-11-26 02:04:36 发布
阅读量116 收藏 1
点赞数
分类专栏: J2EE 文章标签: 会话

今天以前公司的项目问了一个关于会话的问题,觉得比较有意思,记录一下。

关于servlet的会话机制原理,这里就不啰嗦了,网络上一大把。主要说明下问的这个问题:

用浏览器访问servlet服务,servlet容器一般会返回一个标示当前会话的cookie,一般servlet容器默认的都是JSESSIONID,这样就会有个问题,每次我用一个浏览器登录后,我使用其他浏览器或者http访问工具如httpclient伪造一个刚浏览器登录的会话的cookie,那是不是就可以访问需要身份认证后的资源?

写个测试页面jsp:

 

<%
	Cookie [] cookies = request.getCookies();
	//cookie可能为null
	out.append("cookie is null :");
	out.append(cookies==null ? "true<br>" : "false<br>");
	if(cookies != null)
	for(int i=0; i<cookies.length; i++){
		out.append(cookies[i].getName()+":"+cookies[i].getValue());
		out.append("<br>");
	}
	out.print(request.getSession().getId());
%>

 使用浏览器访问这个jsp,查看JSESSIONID的cookie信息,然后用httpclient伪造一个cookie进行访问:

 

	HttpClient client = new HttpClient();
	HttpMethod get = new GetMethod("http://localhost:8080/test/test.jsp");
	Cookie cookie = new Cookie();
	cookie.setName("JSESSIONID");
	//设置域名
	cookie.setDomain("localhost");
	//设置path
	cookie.setPath("/test/");
	cookie.setValue("0000MDDSdWQ0_C2HDRFpurjIt91");
	HttpState state = client.getState();
	state.addCookie(cookie);
	client.setState(state);
	client.executeMethod(get);
	System.out.println(get.getResponseBodyAsString());
 

测试发现,浏览器访问返回的和httpclient返回的一样,说明cookie机制的会话是可以伪造的。

 

可见,伪造会话是可行的,如果默认使用容器的会话,可能会泄露安全数据,当然这是需要你的网络信息被侦听,获取到了你的会话cookie或者其他安全相关的cookie。使用高安全的https,或者做请求验证,在默认的会话机制上增加相关安全机制都可有安全保障

java程序依赖的lib放在附件了,要测试的话可以下载

iteye_585
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
The request was rejected because the URL contained a potentially malicious String “;“问题的正确解决姿势
Ajekseg的博客
07-31 7889
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。,SpringSecurity会在Cookie中存一个信息,标记一为一个。是非常危险的举动,可能导致会话固定攻击,因此不建议上述的行为。...
JSP/Servlet基础——使用URL Rewrite实现伪静态页面
imageprocessing2的专栏
12-21 1858
笔记,只供自己参考,其他人乐意就看,不乐意就不看 使用URL Rewrite实现伪静态页面 1 下载jar包。http://www.tuckey.org/urlrewrite 2 把URL Rewrite项目的编译和运行所需的第三方类库,以及该项目的JAR包放到WEB-INF/lib目录下 commons-codec-1.3.jar commons-httpclient-
深入理解和改进JSP/Servlet会话管理机制
阿迪.Java
08-12 1072
一、Servlet会话管理机制 根据设计,HTTP是一种无状态的协议。它意味着Web应用并不了解有关同一用户以前请求的信息。维持会话状态信息的方法之一是使用Servlet或者JSP容器提供的会话跟踪功能。Servlet API规范定义了一个简单的HttpSession接口,通过它我们可以方便地实现会话跟踪。 HttpSession接口提供了存储和返回标
Java后台模拟生成GET/POST请求servlet(转载)
正走向大牛的菜鸟
11-24 685
Servlet是SUN指定的Java服务器端编程规范,用以处理来自客户端的请求,处理并做出响应的一套基础API。Servlet是运行在Servlet容器中的Java小程序,容器运行在服务器端,服务器侦听特定端口的请求,并解析请求地址,将请求对象送给容器中的Servlet来执行,这个原理非常简单,平时我们多以在浏览器中输入URL地址,提交表单方式来实现,现在我们用Java语言来模拟常用的GET和...
Java学习——Servlet服务器请求响应程序
这介绍不了我
11-26 629
Servlet(Server + Applet):运行在Web服务器端(Tomcat)的小程序。Servlet的主要作用:接收客户端浏览器的请求,还可以为客户端浏览器做出响应。让程序运行在服务器端接收客户端浏览器的请求参数用户需求,对客户端进行数据响应JavaWeb还有十三规范:Tomcat服务器支持其中的2个Servlet和jsp。
基于Servlet的课程管理系统.zip
12-24
5. 系统安全:如会话管理,防止跨站请求伪造(CSRF)和SQL注入等安全问题。Servlet需要正确处理请求,确保数据的安全性。 6. 错误处理:提供友好的错误页面,当出现异常或错误时,Servlet能够捕获并处理,返回适当...
servlet软件开发之四
05-13
2. **Servlet容器**:如Tomcat、Jetty等,它们负责加载、管理Servlet并处理请求。了解如何配置和优化Servlet容器对于实际开发非常重要。 3. **Servlet配置**:在web.xml中配置Servlet,包括映射URL、设置初始化参数...
servlet-practices
03-16
ServletServlet容器(如Tomcat、Jetty)中运行,容器负责Servlet的加载、初始化、线程调度等。理解容器的工作原理有助于优化Servlet性能。 9. **异步Servlet** 自Java EE 7起,Servlet开始支持异步处理,允许...
关于 CSRF(跨站请求伪造
辉小鱼的博客
09-09 323
攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。. 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
【Datawhale AI 夏令营第三期学习笔记Taks1】 跑通baseline #Datawhale AI 夏令营
07-28
【Datawhale AI 夏令营第三期学习笔记Taks1】 跑通baseline #Datawhale AI 夏令营
餐厅营销策划方案.doc
07-28
商业计划书,创业计划书,项目计划书,计划书模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
OpenMv串口通信,接收数据
07-28
OpenMV 是一个开源的机器视觉平台,它为嵌入式系统提供了强大的图像处理能力。OpenMV 主要面向对机器视觉有需求的开发者和爱好者,通过其强大的微控制器和摄像头模块,用户可以在低成本的前提下实现复杂的视觉任务。OpenMV 既可以用于教育领域,帮助学生理解图像处理和计算机视觉的基础知识,也可以用于工业应用,实现自动化检测、分类和导航等功能。 在 OpenMV 系统中,通信模块是实现与其他设备或系统互联互通的关键部分。OpenMV 支持多种通信协议,包括串口通信(UART)、I2C、SPI、CAN 和 USB 等。这些通信接口使得 OpenMV 可以方便地与各种传感器、执行器以及其他嵌入式设备进行数据交换,从而扩展其应用范围和功能。 串口通信(UART)是一种广泛应用于嵌入式系统的通信方式,具有实现简单、成本低廉的优点。OpenMV 的 UART 接口可以与单片机、PC 甚至其他 OpenMV 板卡进行数据传输,使得图像数据和处理结果能够及时传递给其他系统。这个是电赛智能送药小车利用openMv进行的串口通信接收数据的代码
【2021】新能源汽车简史:电动汽车沉浮录-Fastdata极数_62页.pdf
07-28
【2021】新能源汽车简史:电动汽车沉浮录-Fastdata极数_62页.pdf
【20210727】汽车行业:多因素共振导致6月乘用车销量同比走弱新能源车延续强势增长-中国银河_18页.pdf
07-28
【20210727】汽车行业:多因素共振导致6月乘用车销量同比走弱新能源车延续强势增长-中国银河_18页.pdf
多无人作战飞机编队空战智能决策方法
最新发布
07-28
针对多无人机编队空战战术决策问题,提出了基于案例推理(CBR)和规则推理(RBR)的战术决策方法。 在剖析战术决策案例特征的基础上,设计了一种基于框架结构的案例表示方法,并引入结构相似度和云模型理论以 改进传统的最近邻检索算法。最后,借用基于案例推理和规则推理设计的战术决策 GUI 界面,能够快速地从库中检 索出与当前空战态势最匹配的战术决策源案例,仿真结果证明该方法具有较好的有效性。
mysql-萌宠优购系统(源码+数据库).rar
07-28
一、目的: 萌宠优购系统的开发主要是对购物车以及商品管理等功能的设计,用现有的技术进行系统设计,快速的处理信息。与管理员而言要方便对信息进行管理,而与用户交互的界面需要更美观、更具操作性,让用户使用起来轻松愉快,从而使得用户对本系统有一个依赖。 二、主要内容: 用户:用户注册、用户登录、浏览宠物、宠物收藏、加入购物车、宠物下单、查看订单、宠物评价、地址维护。 1.用户注册、登录:游客要进入商城购买宠物必须先注册,注册需要输入相应的信息,比如:用户名、密码等,输入信息不能为空,输入完成点击注册按钮,若所注册用户名已存在则注册失败,需要重新注册,若不存在则注册成功,成为萌宠优购的用户。注册成功后,输入正确的信息进行登录,登录成功后进入系统首页。 2.浏览宠物:用户进入系统首页,对宠物进行浏览挑选,也可以进行搜索用户自己感兴趣的小宠物进行浏览。 3.宠物收藏:在浏览的过程中遇到特别喜欢的小宠物加入收藏夹,方便下次查找。 4.加入购物车:用户可以将喜欢的小宠物加入购物车,等到想要购买的时候方便下单。
【20220617】新能源汽车行业:新能源豪华车正爆发,首推理想汽车!-东吴证券_45页.pdf
07-28
【20220617】新能源汽车行业:新能源豪华车正爆发,首推理想汽车!-东吴证券_45页.pdf
Servlet处理Web会话跟踪:Cookie与Session机制
"蔡世友讲解的Servlet中处理web开发中的会话问题,主要涉及HTTP协议的无状态特性,会话的概念以及会话管理在Web应用中的重要性,同时介绍了两种常见的会话跟踪机制:Cookie和Servlet API中的Session机制。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值