会话标识未更新 漏洞处理

最新推荐文章于 2024-03-29 12:21:58 发布
最新推荐文章于 2024-03-29 12:21:58 发布
阅读量2.6k 收藏
点赞数
分类专栏: 解决问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laokaizzz/article/details/53163831
版权

如果是页面,可以在页面请求之前这么处理下:

HttpSession session=request.getSession();

session.invalidate();
Cookie[] cookies=request.getCookies();
if(null!=cookies){
   for(int i=0;i<cookies.length;i++){
       if(("JSESSIONID").equalsIgnoreCase(cookies[i].getName())){
           cookies[i].setMaxAge(0);
           response.addCookie(cookies[i]);
       }
   }
}

session = request.getSession(true);


如果是spring-security

在登录入口处,这么处理一下

changeNewSession(request);//更换session,处理会话表示未更新的漏洞


private void changeNewSession(HttpServletRequest request){
if (request.getSession() != null) {  
       //--------复制 session到临时变量  
       HttpSession session = request.getSession();  
       HashMap<String,Object> old = new HashMap<String,Object>();  
       Enumeration keys = (Enumeration) session.getAttributeNames();  

       while (keys.hasMoreElements()){  
           String key = (String) keys.nextElement();  
           old.put(key, session.getAttribute(key));  
           session.removeAttribute(key);  
       }  
       session.invalidate();  
       session=request.getSession(true);
         
       //-----------------复制session  
       for (Iterator it = old.entrySet().iterator(); it.hasNext();) {  
           Map.Entry entry = (Entry) it.next();  
           session.setAttribute((String) entry.getKey(), entry.getValue());  
       }  
   }
}

laokaizzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
会话标识更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
关于会话标识的思考
Dus的博客
05-07 3139
会话管理的key专题 一个会话可以理解为多个网元实体处理的一个共同的资源,这种资源通常是用户端和服务端之间创建的关联。通过这种关联,Client/Server两端就可以互相发送数据,就同一资源进行处理。 在会话建立的过程中,可能有多个网络模块参与,且一个网络模块不仅服务于一个会话。这种多对多的关系如果处理不当,会导致“数据不通,记错费用,串号(对于通信领域)” 等严重的问题,因此如何合理的标识一个...
会话标识更新 java_Appscan漏洞会话标识更新
weixin_42138703的博客
02-22 755
本次针对Appscan漏洞会话标识更新进行总结,如下:1. 会话标识更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。1.2、APPSCAN测试过程AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cooki...
HTTP协议分析——状态与会话
携秋水揽星河的博客
06-18 1492
会话会话状态简介 WEB应用中的会话是指一个客户端浏览器与WEB服务器之间连续发生的一系列请求和响应的过程。 WEB应用的会话状态是指WEB服务器与浏览器在会话过程中产生的状态信息,借助会话状态,WEB服务器能把属于同一会话中的一系列请求和响应过程关联起来。 如何实现有状态的会话 HTTP协议是一种无状态的协议,WEB服务器本身不能识别哪些请求是同一个浏览器发出的,浏览器的每一次请求都是完...
WEB安全漏洞会话标识更新漏洞(.net强制更新会话标识
yinshengchen的博客
07-27 655
【代码】WEB安全漏洞会话标识更新漏洞(.net强制更新会话标识
浅谈“会话标识更新漏洞
→_→
07-25 1486
一:漏洞名称: 会话操纵、会话标识更新 描述: 会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 检测条件: 已知Web网站地址 Web业务运行正常 Web业务存在登陆认证模块 已知正确的
Struts2解决更新会话标识
07-16
- "会话标识更新问题 - yutan_313的专栏 - 博客频道 - CSDN.NET.mht":这个文件可能包含了作者yutan_313对会话标识更新问题的详细分析和解决方案,可能包括具体的代码示例和调试步骤。 - "STRUTS2获得session和...
011-Web安全基础7 - 会话管理漏洞.pptx
10-11
会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的...会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。
网站漏洞处理+解决方法大全
04-12
2. 会话标识更新可能导致会话劫持,定期更换会话ID,或者使用不可预测的会话ID可以提高安全性。 3. 防范跨站点请求伪造(CSRF),在关键操作前检查CSRF令牌,确保请求的合法性。 4. 不充分的帐户封锁可能让攻击者...
javaWeb安全验证漏洞修复总结.doc
11-29
为了检测和修复会话标识更新漏洞,可以使用 APPSCAN 等安全扫描工具对应用程序进行扫描和检测。这些工具可以检测到潜在的漏洞,并提供修复建议。 应用程序解决方案 为了避免会话标识更新漏洞,开发者需要采取...
常见字段_sessionID会话标识
时九博客
10-27 4134
sessionID会话标识有2类,一个是针对终端session ID,也叫setSessionID,一个是针对服务器的sessionID,也叫slpSessionID setSessionID包含2个参数sessionID和setID slpSessionID抱哈2个参数sessionID和slpID LOG案例如下:  sessionID   {    setSessionID
安全编程-会话安全
王浩的技术博客
11-15 3915
HTTP协议是无状态的,这就意味着Web应用并不了解有关同一个用户以前请求的信息。会话是在服务器端维护每次HTTP请求的状态,使用会话标识符的最常见原因是允许用户只进行一次验证,而不是在与应用程序的一系列交互中携带认证信息。会话标识符就基本等同于用户名/密码、一次性令牌等,每个用户的会话标识符都应该是唯一的以及不可预测的。可以将会话标识符作为URL参数来回传送,但是现在大多数应用程序都使用cook
AppScan安全扫描:会话标识更新
爱兰河少
01-30 1301
    会话标识更新:在登录页面中存在一个动态的验证码,这个验证码每次获取后会存放于客户端的session中,而若登录失败后会再次跳回到登录页面,而在AppScan做安全扫描时就会误认为因该是新的请求会话,而新的会话则需要用新的Session(sessionId不一样即可),而我们很多时候登录失败后的错误提示信息会封装到session中,这样会方便前台直接读取,因此就会导致会话标识更新的安全问...
【安全漏洞-WEB类】会话标识更新
最新发布
03-29 395
会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。注意:这段代码需要在页面的最后部分加上才可以,否则将报错,或者可以加入到登录验证成功的代码后面。
会话标识更新 java_java或者jsp中修复会话标识更新漏洞
weixin_39884412的博客
02-13 148
appscan扫描出来的。1. 漏洞产生的原因:AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新漏洞。2.AppScan中,对“会话标识更新”提供了修改建议:一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵...
WEB安全实战(七)会话标识更新
热门推荐
紫羽风的博客
12-23 1万+
序 上一篇文章中,我们讨论了关于“浏览器记住用户名和密码”的问题,至于这篇文章嘛,我想谈谈关于“会话标识”的漏洞。而且,这篇文章也是“Web安全实战”系列的最后一篇。为什么要拿到最后来说呢,其实,是之前一直困扰我的问题,这个问题曾一顿让我抓狂,n(n=3~5)多天一直没有解决,当时也是搜遍了各大网站,各大论坛,均找到合适的解决方案。其中的过程就不再废话了,转到正题。
会话标识更新
javaee_ssh的专栏
07-22 5870
try { log.debug("sessionId1 = " + request.getSession().getId()); request.getSession().invalidate(); log.debug("sessionId2 = " + request.getSession(true).getId()); if (request.getCookies() != nul

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值