IBM appcsan扫描安全漏洞--会话标识未更新

最新推荐文章于 2021-11-10 15:48:19 发布
最新推荐文章于 2021-11-10 15:48:19 发布
阅读量1.6k 收藏
点赞数
分类专栏: 安全

IBM appcsan扫描安全漏洞--会话标识未更新

url: http://www.cnblogs.com/jimor/p/3418070.html
posted on 2013-11-11 16:03 jinjinwang

 

IBM appcsan扫描安全漏洞--会话标识未更新

appcsan修订建议:

始终生成新的会话,供用户成功认证时登录。 防止用户操纵会话标识。 请勿接受用户浏览器登录时所提供的会话标识

在登录验证成功之后调用下面方法

 

@SuppressWarnings("unchecked")

    private void createNewSession(HttpServletRequest request, HttpServletResponse response) throws Exception {

        HttpSession oldSession = request.getSession();

        // get the content of old session.

        Enumeration<String> attributeNames = oldSession.getAttributeNames();

        Map<String, Object> attributeMap = new HashMap<String, Object>();

        while(attributeNames != null && attributeNames.hasMoreElements()){

            String attributeName = attributeNames.nextElement();

            attributeMap.put(attributeName, oldSession.getAttribute(attributeName));

        }

        oldSession.invalidate();

        HttpSession newSession = request.getSession(true);

        // put the content into the new session.

        for (String key : attributeMap.keySet()) {

            newSession.setAttribute(key, attributeMap.get(key));

        }

    }

 

 

jackpk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ibm_sw_ds3-5k_10.86.x5.35_windows_x64
04-25
IBM存储管理软件DS3-5K:深入解析与应用》 IBM存储管理软件DS3-5K,版本号10.86.x5.35,是IBM公司推出的一款专为Windows x64平台设计的强大存储解决方案。该软件旨在提供高效、安全且易于操作的存储管理服务,以...
AppScan安全扫描会话标识更新
爱兰河少
01-30 1302
    会话标识更新:在登录页面中存在一个动态的验证码,这个验证码每次获取后会存放于客户端的session中,而若登录失败后会再次跳回到登录页面,而在AppScan做安全扫描时就会误认为因该是新的请求会话,而新的会话则需要用新的Session(sessionId不一样即可),而我们很多时候登录失败后的错误提示信息会封装到session中,这样会方便前台直接读取,因此就会导致会话标识更新的安全问...
会话标识更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
【安全测试】AppScan:下载与安装
顾三殇 —— 博客空间(软件测试)
11-10 3万+
一、AppScan 下载 二、AppScan 安装 (1)使用超级管理员权限,以管理员身份运行 “AppScan_Setup_10.0.0.exe” 安装 (2)将文件夹中 rcl_rational.dll 文件复制到软件安装目录下替换 (3)打开AppScan ,导入AppScanStandard.txt 作为许可证 (4)安装成功开始使用
AppScan深入浅出】修复漏洞:会话标识更新(中危)
编程的世界
08-31 3790
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后
ibm-jdk-1.5-for-linux
09-05
ibm jdk 1.5 linux 版本,已经在官方网站上下载不了的,官方最低版本就是1.6,目前已经绝版了,经过自己的测试,完全是可以使用的
ibm-java-sdk-8.0-5.11-x86_64-archive.bin
04-11
ibm-java-sdk-8.0-5.11-x86_64-archive.bin ibm的jdk 8.0版本
ibm-mq-commonservices-7.5.RELEASE.jar
04-14
ibm-mq里面的ibm-mq-commonservices-7.5.RELEASE.jar下载,有需要的可以直接下载,亲自测过可以正常使用。
ibm-mq-jmqi-7.5.RELEASE.jar
04-14
ibm-mq里面的ibm-mq-jmqi-7.5.RELEASE.jar下载,有需要的可以直接下载,亲自测过可以正常使用。
Struts2解决更新会话标识
07-16
Struts2解决更新会话标识
会话标识更新:登录页面加入以下代码
sunny_happy08的博客
10-12 1696
会话标识更新:登录页面加入以下代码 Java代码 request.getSession(true).invalidate();//清空session Cookie cookie = request.getCookies()[0];//获取cookie cookie.setMaxAge(0);//让cookie过期     request.getSession(true).invalid...
java或者jsp中修复会话标识更新漏洞
yangzongzhuan的专栏
01-12 2848
appscan扫描出来的。 1. 漏洞产生的原因: AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。 2. AppScan中,对“会话标识更新”提供了修改建议: 一般修订建议 始终生成新的会话,供用户成功认证时登
关于AppScan安全检测会话标识更新
y562363753的博客
08-20 3974
会话标识更新 严重性: 中 CVSS 分数: 6.4 URL: http://119.60.12.114:18079/NXZDWRYZXJC/action/user/login 实体: login (Page) 风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务 原因: Web 应用程序编程或配置不...
解决shiro会话标识更新问题
yycdaizi的专栏
04-12 7830
要解决会话标识更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。  一般的解决方法如下: public void login(HttpServletRequest request, ...){ // 让旧session失效 request.getSession(true).invalidate(); //登录验证
会话标识更新
javaee_ssh的专栏
07-22 5870
try { log.debug("sessionId1 = " + request.getSession().getId()); request.getSession().invalidate(); log.debug("sessionId2 = " + request.getSession(true).getId()); if (request.getCookies() != nul
AppScan 会话标识更新 处理方案
八音初穗的博客
03-21 1134
之前是采用了百度到的 session.Abandon的方式但是客户网络环境的问题 会在内网情况下 莫名其妙导致session丢失 取消这个标记后 ,会导致通不过机器扫描,然后采用了https://bbs.csdn.net/topics/390072229此问题的happylm88的回复 response.Cookies["ASP.NET_SessionId"].Expires=Syst...
IBM-PC汇编语言程序设计习题解答(第二版)
"IBM-PC汇编语言程序设计课后习题答案(第二版).docx" 本资源是关于IBM-PC汇编语言程序设计的课后习题解答,主要涉及了数字在不同进制之间的转换、数值运算以及二进制补码计算等方面的知识。 1. 进制转换是汇编语言...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值